머니투데이

개인정보보호위원회가 쿠팡에 부과한 과징금 6246억8100만원은 개인정보 유출과 온라인 활동기록 무단 수집에 대한 제재를 합산한 금액이다. 개인정보 유출 관련 과징금이 4235억7500만원, 타사 웹·앱 활동기록 무단 수집 관련 과징금이 2011억600만원이다. 개인정보위는 개인정보 유출 과징금을 산정할 때 쿠팡 전체 매출이 아닌 사고가 발생한 이커머스 서비스 매출을 기준으로 삼았다. 쿠팡이츠와 쿠팡플레이 등 위반행위와 관련 없는 독립적인 서비스 매출은 제외했다. 개인정보보호법에 따르면 안전조치 의무 위반이 확인된 경우 전체 매출액의 3%를 넘지 않는 범위에서 위반행위와 관련 없는 매출을 제외한 금액을 기준으로 과징금을 산정한다. 여기에 위반행위의 중대성과 피해 규모, 위반 기간, 최근 3년간 동종 위반 전력, 조사 협조 여부, 개인정보 보호 및 피해 회복 노력 등을 반영해 최종 금액을 정한다. 개인정보위는 쿠팡이 연간 매출 30조원을 웃도는 대규모 개인정보처리자라는 점을 고려했다. 인증 서명키 관리와 접근통제를 소홀히 해 회원 3322만2472명과 비회원 최소 433만8368명의 개인정보가 유출된 점도 중대하게 판단했다.

개인정보보호위원회가 약 3750만명의 개인정보를 유출한 쿠팡에 6246억8100만원의 과징금을 부과했다. 국내 개인정보보호법 위반 제재 가운데 역대 최대 규모다. 개인정보위는 11일 전체회의에서 쿠팡과 계열사의 개인정보 유출·침해 행위에 대해 과징금 총 6249억2900만원과 과태료 1680만원을 부과하기로 의결했다. 쿠팡에 6246억8100만원, 쿠팡풀필먼트서비스(CFS)에 2억4800만원이 각각 부과됐다. 쿠팡 과징금 중 개인정보 유출에 따른 몫은 4235억7500만원이다. 조사 결과 쿠팡 회원 3322만2472명과 회원이 아닌 정보주체 최소 433만8368명의 개인정보가 유출됐다. 이름과 이메일, 전화번호, 주소를 비롯해 공동현관 비밀번호와 주문정보 등이 포함됐다 개인정보위는 쿠팡이 인증 서명키 관리와 접근통제를 소홀히 하는 등 기본적인 안전조치 의무를 다하지 않아 약 3750만명의 개인정보가 유출됐다고 판단했다. 유출 통지와 개인정보 파기 의무, 개인정보보호책임자(CPO)의 독립성 보장 의무 위반과 조사 방해 행위도 확인했다.

개인정보보호위원회가 약 3750만명의 개인정보를 유출한 쿠팡과 계열사에 총 6249억원 규모의 과징금을 부과했다. 안전조치 의무 위반뿐 아니라 법적 근거 없는 온라인 활동기록 수집, 조사 방해 등이 제재 대상에 포함됐다. 개인정보위는 개인정보 유출·침해 행위와 관련 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하고 시정명령, 공표명령, 고발, 개선권고를 의결했다고 11일 밝혔다. 계열사인 쿠팡풀필먼트서비스(CFS)에는 과징금 2억4800만원을 부과했다. 개인정보위는 쿠팡이 인증 서명키 관리와 접근통제를 소홀히 하는 등 기본적인 안전관리 체계를 제대로 갖추지 않아 약 3750만명의 개인정보가 유출됐다고 판단했다. 개인정보 유출 통지와 파기 의무, 개인정보보호책임자(CPO)의 독립성 보장 의무를 위반하고 조사도 방해한 사실이 추가로 확인됐다. 개인정보위는 유사 사고 재발을 막기 위한 안전조치 강화와 비회원 정보주체에 대한 유출 통지, CPO의 실질적인 역할 보장 등을 쿠팡에 명령했다.

개인정보보호위원회가 대규모 개인정보 유출과 이용자 온라인 활동기록 무단 수집 등이 확인된 쿠팡에 과징금 6246억8100만원을 부과했다. 계열사 쿠팡풀필먼트서비스(CFS) 과징금까지 합하면 6249억2900만원이다. 개인정보위는 지난 10일 전체회의를 열고 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다. 시정명령과 처분 결과 공표, 개선권고, 고발 조치도 결정했다. CFS에는 과징금 2억4800만원을 부과했다. 쿠팡 과징금 중 개인정보 유출에 따른 몫은 4235억7500만원이다. 조사 결과 쿠팡 회원 3322만2472명과 회원이 아닌 정보주체 최소 433만8368명의 개인정보가 유출됐다. 이름과 이메일, 전화번호, 주소를 비롯해 공동현관 비밀번호와 주문정보 등이 포함됐다. 개인정보위는 이번 사고를 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀에 따른 유출로 판단했다. 전직 직원이 2024년 말 퇴사했는데도 해당 직원이 접근할 수 있었던 인증 서명키를 즉시 갱신하거나 폐기하지 않았고, 업무상 필요하지 않은 직원도 서명키를 평문으로 열람할 수 있도록 운영했다는 것이다.

지난해 11월 말 촉발한 이커머스 쿠팡의 고객정보 유출 사건에 대한 정부의 과징금 처분 규모가 이르면 금주 공개될 전망이다. 업계에선 이번 결정이 최근 고객정보 유출 사건이 발생한 다른 기업의 '바로미터'가 될 수 있다는 점에서 긴장감이 높아지고 있다. 9일 관련 업계에 따르면 개인정보보호위원회는 오는 10일 쿠팡 관련 처분안건을 전체회의에 상정했다. 이날 개인정보위가 과징금 규모를 결정하면 정보유출 사고가 발생한 지 6개월 만에 쿠팡에 대한 정부의 첫 '경제적 제재'가 현실화할 전망이다. 올해 초 민간합동조사단이 발표한 1차 조사 결과에 따르면 쿠팡 '내 정보 수정 페이지'에서 성명과 이메일이 포함된 개인정보 3367만3817건이 유출됐다. 피해 규모는 과거 SK텔레콤 해킹 사건(2324만명)보다 많은 역대 최대 수준이다. 이에 따라 개인정보위가 쿠팡에 역대 최고 수준의 과징금을 부과할 것이란 전망이 나온다. 현행법에 따르면 개인정보 유출 과징금은 직전 3개년 매출의 최대 3%까지 매길 수 있다.

쿠팡의 대규모 개인정보 유출 사태 관련 과징금 발표가 임박한 가운데, 정부가 과징금 제도를 개편한다. 매출이 빠르게 증가한 플랫폼 기업에 기존 기준을 적용하면 제재가 약해지는 구조가 문제로 지적되자 정부는 결국 '더 큰 기업에는 더 무거운 책임' 원칙을 제도에 반영하기로 했다. 개인정보보호위원회는 개인정보 보호법 위반에 대한 과징금 부과처분의 실효성과 적정성을 높이기 위한 '개인정보 보호법 시행령' 일부개정령안과 '개인정보 보호법 위반에 대한 과징금 부과기준'(고시) 일부개정안이 오는 19일 시행된다고 18일 밝혔다. 이번 시행령 및 고시 개정에 대해 개인정보위는 "최근 대규모 개인정보 유출사고가 반복적으로 발생하는 상황에서 과징금 부과의 기준이 되는 매출액 산정기준을 강화하고, 매우 중대한 위반행위에 대해서는 보다 엄정한 제재가 가능하도록 하기 위해 추진됐다"고 설명했다. 과징금 산정 기준이 전면 손질된다. '더 큰 매출'을 기준으로 삼는 방식이다. 기존에는 위반행위가 있던 사업연도 직전 3개년 평균 매출을 기준으로 삼았다.