개인정보보호위원회(개보위)가 쿠팡에 대해 역대 최대 규모인 총 6247억원의 과징금을 부과했다. 지난해 발생한 3700만명 이상의 개인정보 유출 사고와 법적 근거 없는 회원 온라인 활동 기록 무단 수집 행위에 대한 제재다. 이번 결정은 13시간에 걸친 심의 끝에 내려졌으며, 개인정보 보호법 위반 사건 중 최대 규모의 처분으로 기록될 전망이다.
개인정보 유출 및 무단 수집, '역대 최대' 제재 배경
개보위는 이번 결정에서 쿠팡의 개인정보 유출 사고와 관련하여 약 4236억원의 과징금을 부과했다. 전국민이 이용하는 플랫폼에서 실제 거주지 정보 등 민감한 개인정보가 대규모로 유출되어 2차 피해 발생 가능성을 높였다는 점이 주요 사유다. 또한, 쿠팡이 타사 웹·앱에서 1000만명 이상의 회원 온라인 활동 정보를 무단으로 수집한 행위에 대해서는 2011억원의 과징금이 추가로 부과되었다. 이는 개인정보 보호 법규 위반에 대한 강력한 경고 메시지로 해석된다.
쿠팡 측 입장과 개보위의 판단
쿠팡 측은 이번 유출 사고의 근본 원인을 전 직원의 서명키 정보 악용으로 주장하며, 법적으로 요구되는 보안 조치를 충분히 이행했다고 반박했다. 그러나 개보위는 쿠팡의 인증체계 설계 및 운영상의 미흡함, 과도한 서명키 접근 권한 부여, 관리 정책 부재 등을 지적하며 기본적인 내부 보안 관리가 소홀했음을 분명히 했다. 또한, 해커의 공격 기간 중 발생한 비정상적인 트래픽과 접근 시도를 6개월 이상 인지하지 못한 점 등을 들어 접근 통제가 충분하지 않았다고 판단했다. 쿠팡 파트너스 운영 과정에서의 타사 온라인 활동 기록 무단 수집 및 저장 또한 법적 근거 없이 이루어졌다고 판단, 이에 대한 제재도 포함되었다.