기사 제공처 : AI부동산경제신문 / 등록기자: 이진형 기자 [기자에게 문의하기]  0 /  0

해당 기사에 관련하여 문의하기에 남겨주시면 "이진형"기자에게 전송됩니다

 이름

 연락처

- -

 이메일

 확인

쿠팡, 과징금 6246억…개인정보 유출 역대 최대

AI부동산경제신문 | 경제

[서울=이진형 기자] 국내 대형 이커머스 기업 쿠팡이 기본적인 보안 관리 소홀로 인해 3750만 명이 넘는 개인정보를 유출하고, 이용자 천만여 명의 온라인 활동 기록을 법적 근거 없이 무단 수집해 오다 정부 당국에 적발됐다. 개인정보보호위원회는 위반 행위의 심각성과 조사 과정에서의 은폐 시도 등을 종합해 쿠팡에 역대 최대 규모인 6246억 원의 과징금 폭탄을 투하했다.

퇴사자 인증키 방치에 트래픽 감지 제로… 3750만명 정보 통째로 털렸다

11일 개인정보보호위원회(이하 개인정보위)는 정부서울청사에서 전체회의를 열고 개인정보 보호 법규를 위반한 쿠팡에 과징금 6246억 8100만 원과 과태료 1680만 원을 부과하고 시정명령 및 공표 조치를 의결했다고 밝혔다.

이번 조사는 지난해 11월 쿠팡의 유출 신고로 시작됐다. 해커는 쿠팡의 시스템 허점을 파고들어 회원 3322만 2472명의 계정 정보와 배송지 페이지에 등록된 비회원(가족, 친구 등) 433만 8368명의 휴대전화번호, 이름, 주소 등 총 3756만 840건의 개인정보를 유출했다.

조사 결과 이번 사고는 고도의 해킹 기술이 아닌 쿠팡의 치명적인 안전관리 미비와 관리 소홀이 원인이었다. 쿠팡은 대체 인증 서명키를 평문으로 볼 수 있도록 시스템을 허술하게 운영했으며, 서명키 권한이 있던 직원이 퇴사했음에도 이를 갱신하거나 폐기하지 않고 방치했다. 퇴사한 직원은 해커가 되어 이 키를 이용해 시스템에 유유히 접속했다.

또한 공격 기간 중 존재하지 않는 회원의 인증토큰 4400만 개가 사용되고 회원정보 수정 및 배송지 관리 페이지의 접속량이 비정상적으로 폭증했으나, 쿠팡은 차단 임계치 설정 미흡으로 이를 전혀 인지하지 못했다. 결국 해커의 협박 메일을 받은 고객의 민원이 접수되고 나서야 유출 사실을 파악하는 등 방어 체계가 전무했던 것으로 드러났다.

1117만명 뒷조사한 ‘납치광고’ DB… 기자단 ‘취업제한 블랙리스트’ 관리까지

쿠팡의 위반 행위는 단순 유출에 그치지 않았다. 개인정보위 조사 과정에서 쿠팡이 규제 법망을 교묘히 피해 이용자들의 사생활 정보를 무단 수집·활용한 비정상적 행태가 무더기로 적발됐다.

쿠팡은 타사의 웹과 앱에 접속한 회원 1117만 명의 온라인 활동 기록(방문 URL, 앱 이름, 접속 일시, 접속 IP 등)을 무단 수집한 뒤, 이용자 개인을 식별할 수 있는 상태로 자사 데이터베이스(DB)에 저장해 활용했다. 이 과정에서 이른바 ‘납치광고’로 불리는 부정광고 게재 파트너들을 방치해, 이용자 의사에 반해 서비스 이용 기록이 강제 수집되도록 유도했다.

뿐만 아니라 쿠팡의 물류센터를 운영하는 자회사 쿠팡풀필먼트서비스(CFS)는 물류센터 근무 이력이 전혀 없는 경찰청 출입기자단 71명의 명단을 불법 수집해 ‘취업제한 블랙리스트’에 등록·관리해 온 사실이 드러나 큰 사회적 파장을 예고했다. 직원의 체중 정보를 산업재해 관련 소송 증거로 법원에 제출하는 등 민감정보 무단 처리 행위도 함께 적발됐다.

72시간 넘긴 지각 통지에 5개월 치 로그 ‘수동 삭제’… 조직적 조사 방해

쿠팡은 사고 은폐와 조사 방해 측면에서도 엄중한 책임을 물게 됐다. 쿠팡은 올해 1월 말 배송지 관리 페이지를 통해 회원 16만 명의 정보가 추가 유출된 사실을 인지했음에도, 법정 기한인 72시간을 넘겨 6일 만에 뒤늦게 통지했다. 특히 유출된 배송지 정보에 포함된 비회원(제3자)들에 대해서는 개인정보위의 수차례 촉구에도 끝내 유출 통지를 이행하지 않아 2차 피해 방지 기회를 박탈했다.

또한 자체 조사 과정에서 개인정보 보호책임자(CPO)를 완전히 배제하고 의사결정 권한을 무력화시켰다. CPO의 독립성을 검증 없이 무력화한 결과, 해커의 진술에만 의존한 잘못된 자체 조사 결과를 언론과 앱 배너에 공지해 사회적 혼란을 야기했다는 지적을 받았다.

무엇보다 당국의 조사가 시작되자 쿠팡은 최초 유출 시점 등 사실관계를 규명할 수 있는 약 5개월 분량의 웹 접속 로그(기록)를 수동으로 삭제했다. 아울러 6개월이 지나면 자동으로 지워지는 사내 로그 자동 삭제 정책을 중단하지 않고 그대로 유지해 애플리케이션 로그가 소멸되도록 방치하는 등 조직적으로 조사를 방해한 사실이 명백히 확인됐다.

개인정보위 관계자는 "이번 제재는 기존 최대치였던 SK텔레콤 유심 유출 사건 과징금(1348억 원)의 5배를 뛰어넘는 역대 최대 규모"라며 "단순 관리 소홀을 넘어 법망을 교묘히 어기며 회원 정보를 무단 수집하고, 사고 인지 후에도 은폐·삭제로 일관한 비정상적 행위에 엄정 대응하겠다는 강력한 경고"라고 강조했다. 당국은 쿠팡에 재발 방지 안전조치 강화와 비회원 주체에 대한 유출 통지를 명령하고, 3개월 내 이행 결과를 점검할 방침이다.

AI부동산경제신문 | 편집부

이진형 기자

Copyright © 2026 AI부동산경제신문. All Rights Reserved.