개인정보보호위원회가 쿠팡에 부과한 과징금 6246억8100만원은 개인정보 유출과 온라인 활동기록 무단 수집에 대한 제재를 합산한 금액이다. 개인정보 유출 관련 과징금이 4235억7500만원, 타사 웹·앱 활동기록 무단 수집 관련 과징금이 2011억600만원이다.
개인정보위는 개인정보 유출 과징금을 산정할 때 쿠팡 전체 매출이 아닌 사고가 발생한 이커머스 서비스 매출을 기준으로 삼았다. 쿠팡이츠와 쿠팡플레이 등 위반행위와 관련 없는 독립적인 서비스 매출은 제외했다.
개인정보보호법에 따르면 안전조치 의무 위반이 확인된 경우 전체 매출액의 3%를 넘지 않는 범위에서 위반행위와 관련 없는 매출을 제외한 금액을 기준으로 과징금을 산정한다. 여기에 위반행위의 중대성과 피해 규모, 위반 기간, 최근 3년간 동종 위반 전력, 조사 협조 여부, 개인정보 보호 및 피해 회복 노력 등을 반영해 최종 금액을 정한다.
개인정보위는 쿠팡이 연간 매출 30조원을 웃도는 대규모 개인정보처리자라는 점을 고려했다. 인증 서명키 관리와 접근통제를 소홀히 해 회원 3322만2472명과 비회원 최소 433만8368명의 개인정보가 유출된 점도 중대하게 판단했다.
결정적 위반사항은 인증체계의 기본적인 관리 실패다. 쿠팡은 업무상 필요하지 않은 직원도 인증 서명키를 평문으로 열람할 수 있도록 운영했다. 키에 접근할 수 있었던 직원이 2024년 말 퇴사했는데도 해당 키를 즉시 갱신하거나 폐기하지 않았다.
공격 과정에서 나타난 이상징후에도 제대로 대응하지 못했다. 공격자는 2025년 4월부터 11월까지 위조한 인증토큰으로 개인정보가 담긴 페이지에 반복적으로 접근했다. 16개 IP로 배송지 관리 페이지에 약 1억4800만회 접근했고, 실제 존재하지 않는 회원의 인증토큰 약 4400만개를 이용한 비정상 접속도 발생했다. 그러나 쿠팡은 고객 민원이 접수될 때까지 6개월 이상 공격을 인지하지 못했다.
개인정보위는 이를 단순한 개인정보 '노출 가능성'이 아니라 실제 '유출'로 판단했다. 공격자가 회원정보와 배송지·주문 페이지에 접근해 이름과 이메일, 전화번호, 주소, 공동현관 비밀번호, 주문내역 등을 취득했기 때문이다. 공격자는 유출 정보를 조합해 회원별 프로필을 재구성하고 일부 자료를 첨부한 협박 메일까지 발송했다.
유출 이후 대응도 과징금 산정에 영향을 미쳤다. 쿠팡은 추가 유출 사실을 인지하고도 법정 기한인 72시간이 지나 통지했고, 배송지에 개인정보가 포함된 비회원에게는 개인정보위의 반복된 요구에도 유출 사실을 알리지 않았다.
자료보전 명령 이후 로그가 삭제된 점도 불리한 요소로 작용했다. 쿠팡은 약 5개월분의 웹 접속 로그를 수동으로 삭제했고, 기존 자동 삭제 정책도 중단하지 않았다. 이 때문에 전체 공격 접속의 약 13%에 해당하는 로그가 사라져 해당 기간 피해자를 특정하지 못했다.
별도로 부과된 2011억600만원은 쿠팡이 회원 약 1117만명의 타사 웹·앱 방문기록을 동의 없이 수집한 데 따른 것이다. 개인정보위는 쿠팡이 방문 URL과 앱 이름, 접속 시각, IP 등을 회원번호 및 기기 식별자와 결합해 개인을 식별할 수 있는 형태로 저장했다고 판단했다.
쿠팡은 해당 기록을 의도적으로 수집하지 않았으며 개인정보에도 해당하지 않는다고 주장했다. 개인정보위는 쿠팡이 이를 데이터베이스 형태로 구성해 실제 조회한 만큼 수집 의도가 없었다고 보기 어렵다고 반박했다. 다만 맞춤형 광고 알고리즘 학습에 해당 정보를 사용하지 않은 점과 ISMS-P 인증 유지 등 개인정보 보호 노력은 감경 요소로 반영됐다.