쿠팡 개인정보 유출 7개월 만에 돌아온 '6천247억' 청구서

3천755만명 개인정보 유출·1천117만명 활동기록 무단 수집 적발

종전 최대 SKT 기록 넘어서…쿠팡 "법적 절차 통해 다툴 것"

(서울=연합인포맥스) 정수인 기자 = 쿠팡이 개인정보 유출 및 이용자 온라인 활동기록 무단 수집과 관련해 개인정보보호위원회로부터 역대 최대 과징금인 6천247억 원을 부과받는다.

종전 최대 규모인 SK텔레콤 과징금보다 세 배 이상 많다. 지난해 11월부터 발생한 대규모 개인정보 유출 사태는 사상 최대 제재로 돌아왔다.

개인정보보호위원회는 지난 10일 전체회의를 열고 쿠팡의 개인정보 안전관리 의무 위반을 확인하고 과징금 6천246억8천100만 원, 과태료 1천680만 원을 부과한다고 11일 밝혔다.

개보위 조사 결과, 인증 서명키 관리와 접근 통제 소홀 등 안전관리 체계 미흡으로 약 3천755만 명의 개인정보가 유출됐다. 또한 쿠팡이 약 1천117만 명의 이용자 온라인 활동기록을 법적 근거 없이 수집해 이용자를 식별할 수 있는 형태로 저장했다고도 확인했다.

◇작년 11월부터 약 7개월…그간의 기록은

국내를 떠들썩하게 만들었던 이번 사태는 작년 11월로 거슬러 올라간다.

당시 쿠팡은 고객 개인정보 비인가 조회를 확인했다며 4천500명의 개인정보가 노출됐다고 공지했다. 그러나 이후 피해 규모를 3천370만 명으로 정정했고, 민관합동조사단과 개보위는 조사에 착수했다.

박대준 쿠팡 대표는 공개 사과에 나섰고, 국회 과학기술정보방신통신위원회 현안 질의 등에도 출석했다. 반면 실질적인 책임을 갖는 김범석 쿠팡Inc. 의장이 국회 청문회 핵심 증인으로 채택됐음에도 출석하지 않아 여론의 거센 질타를 받았다.

같은 해 12월 쿠팡은 외부 보안업체 포렌식을 토대로 자체조사 결과를 발표했다. 유출자가 3천300만 개 계정에 접근했지만 실제 저장된 고객 정보는 약 3천개 수준이라는 내용이었다.

다만 이같은 자체 조사 발표가 민관합동조사단이나 경찰의 공식적인 확인 이전에 이뤄지면서 정부 조사와 엇박자를 냈다는 지적도 제기됐다.

이후 김범석 의장은 처음으로 서면 사과문을 발표했고, 유출 계정 이용자들에게 1인당 5만 원 상당의 구매이용권을 지급하는 약 1조7천억 원 규모의 보상안을 내놨다.

쿠팡은 보상금 지급, 개인정보 유출 사고 영향 등으로 올해 1분기 3천545억 원의 영업손실을 기록했다. 쿠팡 측은 당시 1분기 실적 컨퍼런스콜에서 실적 부진에 구매이용권 보상안이 영향을 미쳤다며 연간 단위의 마진 확대는 내년부터 가능할 것이라고 예상했다.

이후 올해 2월 쿠팡 침해사고와 관련한 민관합동조사단 조사 결과가 발표됐고, 이날 개보위도 조사 결과 및 제재 수위를 발표했다.

◇SKT보다 363%↑…역대 최대 과징금 경신

이번 과징금은 역대 최대 규모를 경신했다. 종전 최고 기록은 SK텔레콤이 보유하고 있었다. SK텔레콤은 지난해 8월 2천324만 건의 개인정보 유출로 1천348억 원의 과징금을 부과받았다.

개인정보보호법상 과징금은 관련 매출액의 3% 이내에서 부과할 수 있다. 2024년 기준 SK텔레콤의 무선통신사업 매출은 12조7천700억 원으로 최대 과징금이 3천억 원 중반 대에 이를 수 있다는 전망이 나왔었는데, 실제 적용률은 30% 중반 정도에 그쳤다.

쿠팡은 2024년 연결감사보고서상 매출액이 38조2천988억 원으로, 단순 계산 시 법정 최대 과징금은 1조 원대가 책정될 수 있다고 관측됐다. 이를 기준으로 보면 적용률이 50%를 넘어선다.

쿠팡의 경우 개인정보 유출 규모가 3천756만 건으로 SK텔레콤 사례보다 규모가 컸다. 또 1천117만 명의 온라인 활동 기록 무단 수집 정황을 반영해 개보위에서 역대 최대 과징금 규모를 책정했을 것으로 보인다.

김승주 고려대 정보보호대학원 교수는 "(쿠팡이) 보안에 있어 특히 키 관리 및 접근 통제에 있어 기본적인 수칙도 지키지 않았으며, 조사에 협조적이기는커녕 언론 플레이를 통해 방해에 가까운 행동을 했다"면서 "유출됐을 것으로 의심되는 정보에 구매 이력 등의 민감정보가 포함돼 있으므로 역대 최고 수준의 과징금 부과 조치가 있어야 한다"고 말했다.

이번 과징금 규모가 다소 과도하다는 지적도 있다.

이은희 인하대 소비자학과 명예교수는 "규제의 목적은 처벌 자체가 아니라 공정하고 일관된 기준을 통해 기업의 책임 있는 행동을 유도하는 데 있다"면서 "위반의 성격과 실제 피해가 유사한 사안들 사이에서 제재 수준의 편차가 지나치게 크다면, 법 집행의 형평성에 대한 의문이 제기될 수밖에 없다"고 지적했다.

◇과징금 규모, 작년 연간 영업익 수준…쿠팡 "법적 절차로 규명"

개보위의 대규모 과징금으로 쿠팡은 올해 2분기 실적에서도 적자를 면치 못할 가능성이 커졌다.

과징금 6천246억 원은 쿠팡의 작년 영업이익(6천790억 원)에 맞먹는 수준이기도 하다. 이에 따라 쿠팡의 내년 전국민 로켓배송 물류 투자 및 해외 대만 투자, 국내 지방 고용 차질 가능성도 대두된다.

쿠팡은 개보위 제재 발표 이후 개인정보 유출에 따른 책임을 통감한다는 입장을 내놓았다.

쿠팡은 "개인정보 보호 프레임워크를 더욱 강화하고 새로운 의지로 고객 신뢰 회복을 위해 노력하겠다"면서 "다만 작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점 유감스럽게 생각한다"고 말했다.

이어 "이와는 별도로 쿠팡 파트너스는 수천 명의 국내 크리에이터, 블로거, 소상공인들이 상품을 추천하고 수익을 창출하는 프로그램"이라면서 "다른 글로벌 기업들과 동일한 제휴 모델을 사용하여 고객 데이터를 보호하고 적법하게 운영하고 있다"고 했다.

그러면서 "개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"고 전했다.

sijung@yna.co.kr