[뉴스토마토 전연주 기자] 개인정보보호위원회(개보위)가 3700만여명에 달하는 대규모 개인정보를 유출하고 회원들의 활동 기록을 무단 수집한 사고를 일으킨 쿠팡에 6247억원 규모의 과징금을 부과했습니다. 개인정보 유출 사고와 관련해 부과된 과징금 가운데 역대 최대 규모입니다.
송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡 사태 제재안 의결 브리핑을 하고 있다. (사진=연합뉴스)
개보위는 지난 10일 전체회의를 열고 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과했다고 11일 밝혔습니다. 이번 회의는 오전 10시부터 오후 11시30분까지 약 13시간 30분간 이어지며, 개보위 출범 이후 최장 심의로 기록됐습니다.
개보위 조사 결과 개인정보가 유출된 사람은 약 3755만명으로 확인됐습니다. 쿠팡 회원 약 3322만명뿐 아니라, 회원이 배송지 정보에 입력해 둔 가족이나 친구 등 비회원 최소 433만명까지 포함됐습니다.
이는 앞서 과학기술정보통신부 민관합동조사단이 발표한 3367만여건보다 규모가 늘어난 수치입니다. 개보위는 회원 정보 수정 페이지뿐 아니라 배송지 관리 페이지에 포함된 비회원 정보까지 추가로 확인했습니다. 송경희 위원장은 "비회원 433만명은 확보된 기록을 통해 확인한 최소 규모"라며 "조사 과정에서 접속 로그 일부가 삭제돼 실제 유출 규모가 더 클 개연성도 있다"고 설명했습니다.
이번 사고는 쿠팡에서 대체 인증 시스템을 개발했던 전직 직원이 퇴사 전 확보한 인증 서명키를 악용하면서 발생한 바 있습니다. 공격자는 위조 인증토큰을 만들어 지난해 4월부터 11월까지 회원 정보와 배송지, 주문 목록 페이지 등에 반복적으로 접근했습니다. 이 과정에서 이름과 이메일 주소, 전화번호, 주소뿐 아니라 일부 이용자의 공동 현관 비밀번호와 주문 내역도 유출됐습니다.
개보위는 이번 사고가 고도의 해킹보다는 쿠팡의 기본적인 보안 관리 소홀에서 비롯됐다고 판단했습니다. 쿠팡이 해당 직원의 퇴사 이후에도 인증 서명키를 즉시 바꾸거나 폐기하지 않았고, 배송지 관리 페이지에 약 1억4800만회의 접근이 이뤄졌는데도 6개월 넘게 공격을 알아채지 못했다는 겁니다.
송 위원장은 "마스터키가 잘못 관리되면 전체 회원의 개인정보에 접근할 수 있는 만큼 엄격한 통제가 필요하다"며 "쿠팡은 인증키 관리와 비정상 트래픽 탐지에 실패했다"고 말했습니다.
유출 이후 대응 과정에서도 문제가 확인됐습니다. 쿠팡은 추가 유출 사실을 인지하고도 법정 기한인 72시간이 지난 뒤 통지했고, 배송지에 포함된 비회원에게는 유출 사실을 알리지 않았습니다. 개보위가 자료 보전 명령을 내린 뒤에도 약 5개월 치 웹 접속 로그가 수동으로 삭제됐고, 로그 자동 삭제도 중단되지 않았습니다. 이 때문에 정확한 유출 규모와 최초 유출 시점을 확인하기 어려워졌다는 것이 개보위 설명입니다. 개보위는 이를 조사 방해로 판단해 쿠팡을 형사 기관에 고발할 예정입니다.
개보위는 이 같은 개인정보 유출과 안전 조치 의무 위반 등에 과징금 4235억7500만원을 매겼습니다. 또 나머지 과징금 2011억600만원은 쿠팡이 이용자들의 외부 온라인 활동 기록을 법적 근거 없이 수집한 데 대해 부과했습니다. 쿠팡은 2024년 12월부터 올해 2월까지 쿠팡 광고가 게재된 다른 웹사이트와 앱에 접속한 회원 약 1117만명의 방문 기록과 접속 시각, IP주소 등을 수집했습니다. 이 기록은 기기 식별자와 회원번호에 연결돼 광고 데이터베이스에 저장됐습니다.
이에 대해 쿠팡은 해당 기록이 개인정보가 아니며 의도적으로 수집한 것도 아니라고 주장했습니다. 하지만 개보위 관계자는 "해당 기록이 회원 식별번호와 결합해 저장됐다는 사실은 쿠팡도 인정했다"며 "통신 과정에서 자연스럽게 쌓인 정보가 아닌 만큼 수집 의도가 없었다는 주장은 받아들이기 어렵다"고 말했습니다. 이용자를 강제로 쿠팡 앱이나 홈페이지로 이동시키는 이른바 ‘납치 광고’를 제대로 관리·감독하지 않은 사실도 확인됐습니다.
쿠팡은 이날 입장문을 통해 "선제적으로 취한 조치와 소명 내용이 충분히 반영되지 않았다"며 처분에 유감을 나타냈습니다. 2차 피해가 확인되지 않았고, 쿠팡 파트너스 역시 글로벌 기업들이 사용하는 방식과 유사하다는 취지로 반박했습니다.
이에 개보위는 쿠팡 측 의견을 충분히 들었다고 선을 그었습니다. 개보위 관계자는 "쿠팡이 사전에 제출한 수백 쪽 분량의 의견서를 검토했다"며 "전체회의에서도 유출 사건에 5~6시간, 침해 사건에 약 3시간 동안 의견 진술과 질의응답을 진행했다"고 밝혔습니다.
2차 피해가 확인되지 않았다는 주장에도 개보위 관계자는 "현재까지 범죄에 활용된 사실이 확인되지 않았다는 의미일 뿐"이라며 "주소와 전화번호, 주문 내역 등이 피싱이나 스미싱 등에 활용될 가능성은 여전히 남아 있다"고 설명했습니다.
쿠팡의 물류 자회사 쿠팡풀필먼트서비스에도 별도로 과징금 2억4800만원이 부과됐는데요. 물류센터에서 일한 적이 없는 경찰청 출입기자 71명을 취업 제한 목록에 올리고, 임직원 80명의 체중 정보를 별도 동의 없이 산업재해 관련 소송에 활용한 사실이 확인됐습니다.
쿠팡이 향후 행정소송에 나설 가능성에 대해서는 강경 대응 방침을 내비쳤는데요. 이와 관련해 송 위원장은 "소송이 제기된다면 적극적으로 대응하겠다"며 "이번 처분은 법과 원칙에 근거해 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분"이라고 강조했습니다.
전연주 기자 kiteju1011@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지