‘3755만 유출·1117만 무단수집’ 개보위, 쿠팡에 6246억원 과징금 부과
Source: Byline Network
이용자 3755만명 개인정보를 무단유출하고, 동의없이 회원 1177만명의 타 웹앱 이용이력 등을 수집, 활용한 쿠팡에 개인정보보호위원회(이하 개보위)가 역대 최대 과징금을 부과했다.
개보위는 지난 10일 제11차 전체회의를 열고, 개인정보 보호 법규를 위반한 쿠팡에 과징금 6246억8100만원, 과태료 1680만원 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결했다고 11일 밝혔다.
구체적으로 보면, 안전조치 의무를 소홀히 해 약 3755만명의 개인정보 유출을 초래한 데 과징금 4235억7500만원을 부과했고 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만원을 부과했다. 또 이용자 약 1117만명의 타사 온라인 활동기록 무단 수집해 활용한 데 대해 과징금 2011억600만원을 부과했다.
이날 개보위에 따르면, 개인정보를 유출한 쿠팡 전 직원은 쿠팡이 제공하는 다수의 서비스 페이지에 접근해 약 3322만명 회원 계정 개인정보와 배송지 관리 페이지에 등록된 ‘회원 아닌 정보주체’ 최소 433만명의 개인정보를 탈취했다. 또 배송지 관리 페이지에서는 최소 2237만명 회원이 등록한 배송비 정보가 유출됐다. 여기에는 공동현관 비밀번호 6396만건이 포함된다. 주문 목록 페이지에는 회원 약 5만8000명의 상품명, 수량, 가격 등 주문내역 약 27만건이 유출됐다.
개보위는 쿠팡의 안전조치 다수를 위반했다고 판단했다. 먼저 쿠팡이 업무상 대체 인증 서명키가 필요하지 않을 때도 키를 볼 수 있도록 시스템을 운영한 점을 문제삼았다. 쿠팡의 토큰 기반 인증체계가 단순 전자서명 검증만으로 인증할 수 있어, 서명에 사용되는 키 관리를 실패했을 떄 전체 회원계정에 대한 무단 접근할 수 있음에도 관리가 소홀했다는 게 개보위의 설명이다.
또 쿠팡이 불법적인 접근과 침해사고 방지를 위한 접근통제 또한 소홀히 했다고 봤다. 지난해 6월 한달동안 배송지 관리 페이지에만 1억1700만회 공격이 이뤄지는 등 과도한 이상 트래픽이 발생했음에도, 쿠팡은 해커 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못했다. 개보위는 “개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하였고, 탐지된 다수의 이상행위에 대해 별도의 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회를 놓친 사실도 확인”했다고 밝혔다.
회사가 탈퇴 회원의 정보도 제때 파기하지 않은 점도 확인됐다. 개보위의 조사에 따르면, 쿠팡은 탈퇴회원의 배송지 정보 약 246만건, 계좌정보 약 31만8499건, 그리고 회원 대상 문자‧이메일 발송 등을 위해 회원 DB를 복사한 별도의 발송용 DB에 탈퇴후 90일이 경과한 약 72만건을 제 시기 내 파기하지 않았다.
개보위는 쿠팡은 URL, 앱, 접속일시, IP 등 쿠팡 광고가 게재된 타사 웹·앱에 대한 이용자 1117만명의 방문기록을 무단 수집, 활용했다는 점도 문제 삼았다. 개보위에 따르면 쿠팡은 2024년 12월부터 올해 2월까지 1564만개 웹과 앱을 방문한 쿠팡 이용자 1117만명의 타사 온라인 활동 기록을 이용자 동의 없이 무단 수집했다. 쿠팡이 수집한 타사 온라인 활동기록은 개인 식별이 가능한 개인정보로 저장돼 있다.
개보위는 쿠팡 계열사인 쿠팡풀필먼트서비스(CFS)에 대해서도 과징금 2억2000만원을 부과했다. CFS는 물류센터 근무 이력이 없는 경찰청 출입기자단 명단을 수집해, 취업제한 목록에 등록‧관리했다.
한편, 개보위는 과징금 산정을 위해 쿠팡이츠와 쿠팡플레이 등 개별 서비스를 제외한 온라인 쇼핑 매출을 포함해 기준 매출을 산정했다. 쿠팡 파트너스 운영 목적이 이용자 유입 및 이커머스 매출 증대에 있는 점, 쿠팡 이용자의 개인정보를 무단 수집‧처리한 점 등을 고려했다.
글. 바이라인네트워크