쿠팡, 한국서 사상 최대 4억 9천만 달러 데이터 유출 벌금 부과
대한민국 개인정보보호위원회(PIPC)는 전자상거래 대기업 쿠팡에게 6,246억 원(약 4억 900만 달러)이라는 사상 최대 벌금을 부과했습니다. 이번 벌금은 3,700만 명이 넘는 고객에게 영향을 미친 대규모 데이터 유출 사건과 관련됩니다.
쿠팡의 자회사인 쿠팡 물류서비스(Coupang Fulfillment Service)도 고객의 개인 및 민감 정보를 불법적으로 수집·이용·처리한 혐의로 2억 4,800만 원의 벌금을 받았습니다.
조사 결과, 인증키 관리와 접근 제어의 부실 등 보안 관리 미비로 약 3,755만 명의 개인정보가 유출된 것으로 드러났습니다.
PIPC는 또한 데이터 파기 및 유출 통지 의무 위반, 쿠팡 데이터 보호 담당자의 독립성 방해, 조사 방해 행위 등을 지적했습니다.
“인증 서명키 관리 및 접근 제어 소홀 등 기본 안전 관리 체계가 미흡해 약 3,755만 명의 개인정보가 유출되었습니다.”라고 PIPC는 밝혔습니다. “쿠팡의 안전조치 의무 위반 및 법적 근거 없이 개인정보를 수집한 점에 대해 6,246억 8,100만 원의 과태료와 1,680만 원의 벌금을 부과하고, 시정 명령·공고·출판 명령을 내렸습니다.”
쿠팡은 미국에 본사를 둔 온라인 소매업체로, 한국 시장에서 95,000명의 직원을 고용하고 연 매출 300억 달러를 초과하고 있습니다.
회사는 12월 말에 1조 6,850억 원(약 11억 7,000만 달러) 규모의 배상금을 지급하고, 2026년 1월부터 고객 1인당 5만 원(약 34달러) 상당의 일회용 구매 바우처를 제공해 3,300만 명 이상의 피해 고객을 보상할 계획이라고 발표했습니다.
한국 역사상 최악 수준의 유출 사건 중 하나인 이번 사고는 6월 말에 발생했으나 11월 중순에야 비로소 확인되었습니다. 그때 쿠팡은 3,370만 개의 계정이 침해됐다고 경고했습니다.
조사를 인계받은 한국 당국에 따르면, 주요 용의자는 2022~2024년 동안 쿠팡 IT 부서에서 근무했던 43세 중국인입니다.
쿠팡은 이후 해당 전 직원이 민감 데이터를 담은 하드 드라이브를 여러 차례 반환했으며, 증거 인멸을 위해 맥북 에어를 강에 버렸지만 장비가 회수됐다고 밝혔습니다. 또한 용의자는 수백만 개의 계정을 열람했음에도 불구하고 약 3,000개의 계정에 대한 사용자 데이터를 보관했으며, 이 데이터는 모든 기기에서 삭제되고 다른 곳으로 이전되지 않았다고 덧붙였습니다.
한국 최대 이동통신사인 SK텔레콤도 4월에 고객에게 민감한 USIM 데이터가 노출됐다고 경고했으며, 이는 자사 네트워크가 악성코드에 감염된 뒤 2022년 6월부터 배포된 것으로 확인되었습니다. 이번 악성코드 사건은 총 2,700만 명의 가입자(SK텔레콤 전체 고객의 거의 전부)에게 영향을 미쳤습니다.
보안 팀은 성공적인 공격의 54%만 로그에 남기고, 그 중 14%만 알림을 받습니다. 나머지는 환경을 무시하고 진행됩니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.