쿠팡이 개인정보 유출 및 무단 수집 등으로 역대 최대 규모인 6246억원의 과징금을 부과받았다.
개인정보보호위원회는 11일 전체회의를 열고 쿠팡에 과징금 6246억 8100만원과 과태료 1680만원을, 계열사 쿠팡풀필먼트서비스(CFS)에 과징금 2억 4800만원을 부과하기로 의결했다고 밝혔다. 시정명령과 공표명령 등도 함께 내려졌다.
이번 조사는 2024년 말 퇴사한 전직 직원이 2025년 4월부터 11월까지 약 7개월간 고객 정보를 빼돌린 사건에서 시작됐다. 해커는 탈취한 인증 서명키를 이용해 회원번호를 순차적으로 바꿔가며 배송지 관리 및 회원정보 수정 페이지에 접근했다.
이로 인해 쿠팡 회원 약 3755만명과 비회원 최소 433만명 등 총 4188만명 이상의 개인정보가 유출됐다. 유출된 정보에는 이름, 이메일, 전화번호, 주소 등이 포함됐다. 공동현관 비밀번호도 마스킹 처리된 상태로 유출된 것으로 나타났다.
개인정보위에 따르면 쿠팡은 ▲인증수단 관리 소홀 ▲이상 트래픽 미인지 등 접근통제 미흡 ▲법정 기한(72시간)을 넘긴 유출 통지 ▲개인정보보호책임자(CPO)의 업무수행 방해 ▲탈퇴 회원 정보 미파기 등을 위반했다. 특히 쿠팡은 해킹 공격을 6개월간 인지하지 못했으며, 조사 과정에서 웹 접속 로그 약 5개월 분량을 수동 삭제해 증거를 없앤 사실도 드러났다.
쿠팡은 개인정보 유출 외에도 '쿠팡 파트너스' 프로그램을 통해 이용자 동의 없이 타사 온라인 활동기록을 수집한 사실도 적발됐다. 2024년 12월부터 약 1년 2개월간 1117만여명의 기기 식별자, 방문 웹사이트 주소(URL) 등을 무단으로 수집해 맞춤형 광고에 활용했다.
또한 광고 파트너가 이용자 의사와 상관없이 쿠팡으로 강제 이동시키는 '납치광고'를 게재했음에도 이를 제대로 관리·감독하지 않은 점도 위반 사항으로 지적됐다.
계열사인 CFS는 경찰청 출입기자 71명의 개인정보를 동의 없이 수집해 '취업제한' 목록에 등록하고, 임직원 80명의 체중 등 민감정보를 산업재해 관련 소송에서 법원에 제출해 과징금 처분을 받았다.
송경희 개인정보위 위원장은 "이번 처분이 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"고 말했다.