개인정보보호위원회가 쿠팡 개인정보 유출 사고에 대해 총 6246억8100만원의 과징금과 1680만원의 과태료를 부과하기로 의결하면서 이유에 이목이 쏠린다. 개인정보위는 법과 원칙의 테두리 안에서 최대한 엄중하게 판단했다는 입장이다.
11일 개인정보위는 쿠팡이 정보 주체의 인증수단을 안전하게 관리하지 않은 점을 가장 엄중하게 판단했다고 밝혔다. 쿠팡의 토큰 기반 인증체계는 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근을 허용할 수 있어 엄격한 운영·관리가 필수적인데 이를 소홀히 했다는 판단이다.
또 해커의 공격 기간 개인정보가 포함된 페이지에 대한 접속량이 평상시 대비 급격하게 증가하는 등 과도한 이상 트래픽이 발생했고 실제 존재하지 않는 회원의 인증토큰을 이용한 비정상 접속이 다수 있었음에도 쿠팡은 이를 인지하지 못한 것으로 드러났다. 개인정보가 포함된 페이지에 대한 차단 임계치도 미흡했다.
쿠팡이 쿠팡 파트너스 프로그램을 통해 이용자의 타사 온라인 활동 기록을 수집·저장한 행위에 대해서는 경우에 따라서 사상·신념·건강 등 민감정보의 추론 가능성도 있어 정보 주체의 권리 침해 위험 가능성이 크다고 판단했다. 개인정보위는 쿠팡이 이런 정보를 수집·저장하는 과정에서 이용자가 충분히 개인정보 처리에 관한 결정권을 행사하지 못했다고 봤다.
개인정보위는 쿠팡의 조사 방해 행위도 엄중히 판단했다. 개인정보위는 조사 착수 즉시 사고 관련 접속기록 등 각종 증거자료의 보전을 명령했으나 쿠팡은 2024년 7~11월 약 5개월 분량의 웹 접속 로그를 수동으로 삭제했다. 개인정보위는 이로 인해 최초 유출 시점 등 유출 관련 사실관계 규명에 어려움을 겪었다고 설명했다. 또 쿠팡은 6개월 경과 시 삭제되는 로그 자동 삭제 정책을 중단하지 않아 앱 로그가 자동 삭제돼 개인정보위는 유출 규모 및 피해 범위 확인에도 어려움을 겪었다.
개인정보위는 2차 피해 방지를 위해 노력한 점이 반영되지 않아 유감스럽다는 쿠팡 측 입장에 대해선 아직 안심할 수 있는 상황이 아니라고 반박했다. 쿠팡 파트너스는 다른 글로벌 기업들과 동일한 제휴 모델을 사용하고 있다는 주장에 대해서도 개인정보위는 쿠팡이 의도적으로 회원식별번호와 결합해 데이터를 저장한 사실이 확인됐다고 강조했다.
한편 쿠팡은 이날 입장문에서 명확한 사실관계에 근거한 설명이 개인정보위의 결정에 충분히 반영되지 못한 점이 아쉽다며 법적 절차에 나서겠다고 밝혔다. 개인정보위는 소송에 적극적으로 대응하겠다며 쿠팡 측 의견은 심의·의결 때만이 아니라 이미 과거에 수백페이지에 달하는 의견서를 받아 충분히 검토했고 최종 의결에도 반영했다고 설명했다.
송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되길 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보를 안전하게 보호하고 이용할 수 있는 환경을 마련하기 위해 더욱 노력하겠다"고 말했다.