개보위, 쿠팡에 과징금 6,246억 원 부과…역대 최대치

개인정보보호위원회가 3,750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6,246억 원을 부과했습니다.

개인정보 유출에만 약 4,236억 원, 1천만명이 넘는 회원의 온라인 활동기록을 무단 수집한 위반 행위 등에는 2,011억원의 과징금 처분을 각각 내렸습니다.

단일 개인정보 유출사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많습니다.

개인정보위는 10일 정부서울청사에서 전체회의를 열어 쿠팡의 개인정보 안전조치 의무 위반행위 제재안을 심의하고, 과징금 4,235억 7,500만 원을 부과하기로 의결했다고 11일 밝혔습니다.

또 쿠팡에 과태료 1,680만 원도 처분하기로 했습니다.

개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3,750여만명의 개인정보가 유출된 것으로 결론 내렸습니다.

조사 과정에서 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했습니다.

개인정보위는 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보장 등의 시정명령을 내렸습니다.

또 탈퇴회원의 개인정보 처리체계와 관련해 개선을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했습니다.

이와 함께 개인정보위는 쿠팡에서 타사의 웹·앱에 접속한 회원 약 1,117만명의 온라인 활동기록을 무단 수집해 이용자 개인을 식별한 상태로 데이터베이스(DB)에 저장한 위반행위도 확인해 과징금 2,011억 660만 원을 별도 부과했습니다.

개인정보 유출사고에 따른 과징금 약 4,236억 원을 합산하면 개인정보위가 쿠팡에 부과한 과징금 총액은 모두 6,246억 8,100만 원에 달합니다.

쿠팡이 무단 수집한 회원들의 온라인 활동기록은 타사 웹·앱에 대한 이용자 방문 기록(URL, 앱 이름 등), 접속일시, 접속 IP 등입니다.

개인정보위는 또 쿠팡이 소위 '납치광고'로 불리는 부정광고를 게재하는 광고 파트너를 적절히 관리·감독하지 않은 점도 확인했습니다. 이에 따라 이용자 의사에 반해 쿠팡 서비스 이용기록이 수집된 사실을 파악했습니다.

개인정보위는 쿠팡에 개인정보 처리의 투명성 제고와 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등을 시정명령했습니다.

아울러 개인정보위는 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 개인정보 수집·이용 관련 규정을 위반했다고 봤습니다.

또 '임직원 건강관리'를 목적으로 보유·관리하는 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 보고 과징금 2억 4,800만 원을 개별 부과했습니다.

이에 대해 쿠팡은 "법적 절차를 통해 사실 관계가 명확하게 규명되기를 기대한다"고 밝혔습니다.

쿠팡은 이날 공식 입장을 내고 "작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다"고 말했습니다.

다만 "이번 개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다"며 "개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다"며 재차 사과의 뜻을 밝혔습니다.