[방송기술저널 백선하 기자] 개인정보보호위원회가 회원 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동 기록을 무단 수집한 쿠팡에 과징금 약 6,247억 원을 부과했다. 개인정보 유출 사고에 내린 과징금 규모로는 역대 최대다.
개인정보위는 6월 10일 열린 전체회의에서 쿠팡에 6,246억 8,100만 원의 과징금과 1,680만 원의 과태료를 부과하고 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다. 또 개인정보 보호 위반이 확인된 쿠팡풀필먼트서비스(CFS)에 대해서 2억 4,800만 원의 과징금을 부과하기로 했다.
“쿠팡 인증 서명키 관리 및 접근 통제 등 기본적 안전조치에 소홀”
개인정보 유출에 따른 안전조치 의무 위반 사항에 대한 과징금은 4,235억 7,500만 원이다. 조사 결과 해커는 회원 3,322만 2,472명의 개인정보와 회원이 아닌 정보 주체 433만 8,368명의 개인정보를 유출한 것으로 확인됐다. 개인정보에는 이름과 이메일, 전화번호, 주소, 공동현관 비밀번호, 주문 정보 등이 포함됐다.
개인정보위는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 개인정보가 유출됐다고 판단했다. 인증 서명키를 즉각 갱신 또는 폐기하지 않는 등 관리를 제대로 하지 않아 해커가 퇴사했음에도 접근 및 열람이 가능했다는 것이다. 비정상 접근이 다수 있었음에도 고객 민원 접수 전까지 이상 행위를 알지 못하는 등 접근 통제를 소홀히 한 점도 지적됐다. 또 유출 통지와 개인정보 파기 의무, 개인정보보호책임자(CPO)의 독립성 보장 의무 위반과 조사 방해 행위 등도 확인됐다.
이번 과징금은 종전 최대치였던 SK텔레콤의 1,247억 9,100만 원을 훨씬 웃도는 금액으로 쿠팡의 지난해 영업이익과도 맞먹는 수준이다.
개인정보위는 과징금과 함께 유사 사고 재발 방지를 위해 인증키 관리 및 통제 체계 정비, 접근 통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 ‘회원이 아닌 정보 주체’ 대상 유출 통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다.
“법적 근거 없이 무단으로 타사 온라인 활동 기록 수집” 비판
개인정보위는 쿠팡에서 타사의 웹·애플리케이션에 접속한 회원 약 1,117만 명의 온라인 활동 기록을 무단 수집해 이용자 개인을 식별한 상태로 DB에 저장한 위반 행위도 확인해 과징금 2,011억 660만 원을 별도 부과했다.
개인정보위는 “타사 온라인 활동 기록은 여러 서비스와 웹, 앱에 걸쳐 수집돼 개인의 관심사와 성향 등을 폭넓게 파악할 수 있고, 장기간 누적되는 경우 개인을 프로파일링하게 되거나 경우에 따라서는 사상‧신념‧건강 등 민감 정보의 추론 가능성도 있어 권리 침해 위험 가능성이 크다”고 판단했다.
“쿠팡 자회사, 경찰청 출입기자 개인정보 수집 및 이용해”
아울러 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 위반 행위로 판단해 과징금 2억 2,000만 원을 부과했다.
또 ‘임직원 건강관리’를 목적으로 보유·관리하는 근로자 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 보고 과징금 2,800만 원을 개별 부과했다.
개인정보위는 “국내 소비자의 소중한 개인정보를 다루는 기업이라면 국내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용돼야 한다는 원칙을 다시 한번 명확히 했다”면서 “대규모 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 했다”고 밝혔다.
송경희 개인정보위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되길 바란다”며 “개인정보위도 플랫폼 내에서 국민의 개인정보를 안전하게 보호하고 이용할 수 있는 환경을 마련하기 위해 노력하겠다”고 말했다.
쿠팡 법적 대응 시사…개인정보위 “적극 대응할 것”
이날 쿠팡은 개인정보위 결정에 유감이라고 밝혔다. 쿠팡은 공식 입장을 통해 “작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다”고 했다.
다만 “이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다”며 “개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다”고 덧붙였다.
쿠팡은 개인정보위로부터 공식 의결서를 수령한 후 법적 절차를 진행할 계획이다. 쿠팡의 처분 불복 가능성에 대해 송경희 개인정보위원장은 “만약 소송이 제기된다면 적극 대응할 것”이라며 “이번 처분은 법과 원칙에 근거해 면밀한 검토와 충분한 숙고 끝에 내린 타당한 처분이라고 생각한다”고 강조했다.
