개인정보보호위원회가 대규모 개인정보 유출과 이용자 온라인 활동기록 무단 수집 등이 확인된 쿠팡에 과징금 6246억8100만원을 부과했다. 계열사 쿠팡풀필먼트서비스(CFS) 과징금까지 합하면 6249억2900만원이다.
개인정보위는 지난 10일 전체회의를 열고 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다. 시정명령과 처분 결과 공표, 개선권고, 고발 조치도 결정했다. CFS에는 과징금 2억4800만원을 부과했다.
쿠팡 과징금 중 개인정보 유출에 따른 몫은 4235억7500만원이다. 조사 결과 쿠팡 회원 3322만2472명과 회원이 아닌 정보주체 최소 433만8368명의 개인정보가 유출됐다. 이름과 이메일, 전화번호, 주소를 비롯해 공동현관 비밀번호와 주문정보 등이 포함됐다.
개인정보위는 이번 사고를 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀에 따른 유출로 판단했다. 전직 직원이 2024년 말 퇴사했는데도 해당 직원이 접근할 수 있었던 인증 서명키를 즉시 갱신하거나 폐기하지 않았고, 업무상 필요하지 않은 직원도 서명키를 평문으로 열람할 수 있도록 운영했다는 것이다.
2025년 4월부터 11월까지 개인정보가 담긴 페이지에 과도한 트래픽과 비정상 접속이 발생했지만 이를 탐지하지 못한 점도 지적됐다. 공격자는 16개 IP로 배송지 관리 페이지에 약 1억4800만회 접근했다. 존재하지 않는 회원 계정의 인증토큰 약 4400만개를 이용한 접속도 있었지만 쿠팡은 6개월 이상 유출 시도를 인지하지 못했다.
쿠팡은 전직 직원이 재직 중 알게 된 서명키를 퇴사 후 악용한 사건으로 일반적인 유출 사고와 다르게 봐야 한다고 주장했다. 그러나 개인정보위는 인증키 관리와 접근통제가 미흡해 공격자가 개인정보를 실제 취득한 만큼 단순한 '노출'이 아닌 '유출'에 해당한다고 판단했다.
유출 통지와 개인정보 파기 의무 위반도 확인됐다. 쿠팡은 추가 유출을 인지하고도 법정 기한인 72시간이 지나 통지했고, 배송지 정보에 포함된 비회원에게는 개인정보위의 거듭된 요구에도 유출 사실을 알리지 않았다. 탈퇴회원의 배송지 정보 246만5592건과 계좌번호 31만8499건 등을 제때 파기하지 않은 사실도 드러났다.
개인정보위의 자료보전 명령 이후 약 5개월분의 웹 접속 로그가 수동 삭제된 사실도 확인됐다. 자동 삭제 정책도 중단하지 않아 전체 공격 접속의 약 13%에 해당하는 로그가 사라졌고, 해당 기간 피해자를 특정하지 못했다.
나머지 과징금 2011억600만원은 타사 웹·앱에 접속한 회원 1117만613명의 온라인 활동기록을 동의 없이 수집한 행위에 부과됐다. 쿠팡은 방문 URL과 앱 이름, 접속 일시와 IP 등을 회원번호·기기 식별자와 결합해 저장했다. 개인정보위는 개인의 관심사와 성향은 물론 민감정보까지 추론할 수 있어 개인정보 자기결정권 침해 위험이 크다고 봤다.
개인정보위는 인증키 관리와 접근통제 강화, 비회원에 대한 유출 통지, CPO의 실질적 역할 보장 등을 시정명령했다. 맞춤형 광고 관련 정보 처리 사실을 명확히 알리고 이용자가 마케팅 동의를 쉽게 철회할 수 있도록 하라고도 명령했다.