"쿠팡, 3755만명 개인정보 유출"… 역대 최대 6246억 원 제재

"쿠팡 사고는 고도의 해킹 기법 때문이 아니라 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀로 발생했습니다."

11일 송경희 개인정보보호위원회 위원장의 말이다. 그는 이날 오전 정부서울청사에 '쿠팡 개인정보 유출 및 개인정보 침해 사건'에 대한 시정조치안 의결을 발표하면서 고도 해킹 아닌 쿠팡의 기본 조치 소홀·관리 실패로 결론내렸다.

개인정보위는 전날(10일) 제11회 전체회의를 오전 10시부터 13시간 넘게 진행했다. 회의에서 사업자 의견 진술을 듣고 위원 간 논의가 있었다고 한다.

그 결과, 개인정보위는 쿠팡의 개인정보 유출과 타사 온라인 활동 정보 무단 수집 행위에 대해 안전조치 의무 위반, 개인정보 수집·이용 위반 등이 있었다고 판단했다. 이에 따라 과징금 6246억8100만 원과 과태료 1680만 원을 부과했다. 별도로 쿠팡풀필먼트서비스의 개인정보 처리 위반에 대해서도 과징금 2억4800만 원을 부과했다.

송 위원장은 "국내 최대 온라인 플랫폼 사업자이자 대규모 개인정보처리자인 쿠팡이 그에 상응하는 수준의 개인정보 보호 및 관리 체계를 갖추지 못한 사실이 확인됐다"고 말했다.

고객이 받은 협박 메일로 시작된 조사… "전직 직원이 인증서명키 확보"

개인정보위 조사에 따르면 쿠팡은 해커의 협박 메일을 받은 고객 민원을 통해 개인정보 유출 사실을 처음 인지했다. 이후 조사 과정에서 과거 쿠팡에서 대체 인증 기능을 직접 개발했던 전직 직원이 대체인증 서명키를 확보한 뒤 위조 인증토큰을 생성해 개인정보에 접근한 사실이 확인됐다. 해당 접근은 2025년 4월부터 11월까지 이어졌다.

송 위원장은 "전직 직원이 인증서명키를 확보한 후 회원정보 수정 페이지와 배송지관리 페이지, 주문목록 페이지에 포함된 개인정보를 유출한 것으로 확인됐다"고 밝혔다.

유출 규모는 예상보다 훨씬 컸다. 해커는 쿠팡 서비스 내 여러 페이지에 접근해 회원 약 3322만 명, 비회원 정보주체 약 433만 명의 개인정보를 유출한 것으로 조사됐다. 회원정보 수정 페이지에서는 회원 약 3300만 명의 이름과 이메일 주소가 유출됐다.

전체 내용보기 ...