.jpg "Whasubun")
개인정보보호위원회가 쿠팡에 총 6246억 8100만원의 과징금과 1680만원의 과태료를 부과했다. 이는 국내 개인정보보호법 제정 후 역대 최대 규모의 제재로, 약 3755만명의 개인정보가 유출된 보안 사고의 심각성을 반영한 조치다.
개인정보위는 2026년 6월 10일 전체회의를 열고 쿠팡의 개인정보 보호법 위반 혐의를 심의·의결하고 11일 공식 발표했다. 특히 쿠팡이 2024년 12월부터 2025년 7월까지 보안 관리 의무를 위반해 대규모 개인정보 유출이 발생했다고 판단해 ▲안전조치 의무 위반(4235억 원) ▲쿠팡 파트너스를 통한 온라인 활동기록 무단 수집(2011억 원) 등으로 과징금을 세분화해 부과했다.
이번 제재는 단순한 제재 금액이 아닌 보안 책임의 무게를 실체적으로 드러내는 사례다. 유출된 정보에는 회원 기본 정보뿐 아니라 구매 이력, 속옷 내역, 배송지 정보, 공용 현관 비밀번호 등 민감도가 높은 데이터도 포함된 것으로 확인됐다. 본문에서는 과징금 산정 근거, 유출 경위, 쿠팡의 공식 대응, 그리고 독자가 반드시 확인해야 할 실생활 대응 요소까지 정리했다.
1. 과징금 산정 근거와 위반 구조
쿠팡, 6246억원 과징금에 "법적 절차로 사실관계 규명"
과징금 총액 6246억 8100만원은 크게 두 축으로 나뉘어 산정됐다. ▲안전조치 의무 위반으로 인한 개인정보 유출에 대해 4235억 원, ▲쿠팡 파트너스를 통한 온라인 활동기록 무단 수집에 대해 2011억 8100만 원이다. 여기에 1680만 원의 과태료가 추가된다.
개인정보위는 쿠팡이 보안 관리 체계 전반에서 중대한 결함을 보였다고 보고, 특히 인증 서명키 관리 소홀, 로그 조작 가능성, 보안 감사 미이행 등 3가지 핵심 위반 사항을 근거로 삼았다. 이는 단순히 기술적 결함을 넘어서, 조직적·체계적으로 보안 의무를 경시했다는 판단을 반영한다.
이 과징금은 과거 SK텔레콤의 유심 해킹 사고 당시 부과된 1348억 원의 약 4.6배에 달한다. 또한 메타가 2023년 유럽에서 받은 3800억 원 규모의 과징금보다도 1.6배 이상 큰 수준으로, 국내외에서 가장 무거운 개인정보 보호 제재 중 하나다.
2. 유출된 개인정보의 범위와 민감도
'개인정보 유출' 쿠팡에 6247억 과징금…쿠팡, '법적 대응' 예고
유출된 개인정보는 총 3755만 명에 달하며, 국내 인구의 약 70%에 해당하는 규모다. 이 중에는 단순한 이름과 전화번호뿐 아니라, 구매 이력, 지류 화장품 구매 이력, 속옷 구매 내역, 배송지 상세 주소, 공용 현관 비밀번호 등 고도로 민감한 정보가 포함된 것으로 확인됐다.
특히 쿠팡 파트너스를 통해 수집된 온라인 활동기록은 사용자의 브라우저 로그, 클릭 흐름, 검색어, 화면 노출 시간 등을 추적한 것으로, 이 정보를 통해 사용자의 성향, 취향, 생활 패턴을 상당 부분 유추할 수 있다고 개인정보위는 지적했다. 이는 ‘개인정보’를 넘어서 ‘민감정보’에 준하는 위험 수준으로 판단되며, 목적초과 수집 위반과 연결된다.
이러한 정보 유출은 실생활에서 신원도용, 사기, 스토킹, 스크래밍 등 2차 피해를 유발할 수 있다. 특히 기존에 쿠팡에 중복 로그인하거나 동일한 비밀번호를 사용한 경우, 다른 서비스로까지 피해가 확산될 가능성도 있다. 유출된 데이터는 2025년 7월 이후의 정보로 집중되며, 일부는 2024년 말부터 누적된 것으로 파악된다.
3. 쿠팡의 공식 대응과 법적 대응 방향
쿠팡은 개인정보위 결정에 대해 “유감”을 밝히고, 법적 대응을 검토 중이라고 공식 입장문을 통해 발표했다. 구체적인 근거를 들어 위반 여부나 과징금 산정 수치에 이의를 제기하는 방향으로 법적 절차를 밟겠다는 의미로, 추후 행정소송 또는 행정(행정심판)을 신청할 가능성이 크다.
쿠팡은“신뢰 회복을 위한 노력을 continued(계속)할 것”이라고 밝히며, ▲보안 강화 대책 ▲이용자 피해 구제 방안 ▲내부 인사 조치 등을 포함한 종합 대응 방안을 곧 공개할 예정이다. 다만, 이미 과징금 결정은 확정된 상태이므로 행정처분의 집행은 계속되고, 이의신청이나 소송 과정에서도 시정 명령과 공표 조치는 즉각적으로 이행되어야 한다.
쿠팡은 이미 보안 체계를 강화하기 위해 외부 보안 컨설팅 기관을 파견하고, 내부적으로는 보안 책임자 교체, 보안팀 확대, 보안 인프라 개선 계획을 수립한 것으로 알려졌지만, 이 모든 조치는 과징금 결정 이후의 내용이며, 유출 발생 시점의 관리 소홀에 대한 책임 회피는 어렵다.
4. 수사 고발 및 병행 조치
개인정보위는 쿠팡에 대한 과징금 부과와 함께, 일부 사안에 대해서는 수사기관으로의 고발을 병행하기로 결정했다. 특히 로그 조작 가능성 및 내부 직원과 외부 가해자의 공모 정황이 확인된 경우, 형법상 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 및 개인정보보호법 위반 혐의로 형사 수사가 이뤄질 수 있다.
쿠팡 풀필먼트서비스(CFS)에 대해서도 별도로 개인정보 처리 위반에 대해 과징금 2억 4800만 원을 부과했다. 이는 쿠팡이 직접 운영하지 않는 3자 물류 파트너의 보안 수준이 미흡했던 점을 반영한 조치로, 플랫폼 사업자로서 계약사의 보안 관리 책임까지 전가할 수 없다는 점을 명확히 밝힌 것이다.
이에 따라 쿠팡은 현재 내부 진단을 강화하고 있으며, 관련 인력에 대한 징계와 시스템 보완 조치를 서두르고 있다. 다만, 수사 기관이 수사를 개시하면 쿠팡은 법정에서 증거를 개방하고 협조해야 하므로, 이 과정에서 추가적인 내부 정보가 공개될 가능성도 크다.
5. 독자가 반드시 확인할 사항
이번 사고로 유출된 정보 중에는 이미 악용된 사례가 존재할 수 있다. 개인정보위는 유출 후 3개월 이내에 비정상적인 계정 접속, 불청 구매 요청, 사칭 메시지 등을 발견한 경우 즉시 경찰에 신고하고, 개인정보유출 확인센터(privacy.kisa.or.kr)를 통해 직접 본인 정보가 유출되었는지 확인할 것을 권고했다.
쿠팡은 유료 서비스 가입자에 한해 1년간 부정 사용 보상 보험을 가입할 예정이지만, 비회원과 무료 서비스 이용자는 별도 보상 대상에서 제외된다. 따라서 모든 사용자는 자신의 쿠팡 계정 비밀번호를 다른 서비스와 겹치지 않게 변경하고, 간단한 비밀번호나 생일, 주민번호 일부 등은 절대 사용하지 말아야 한다.
개인정보위는 향후 6개월간 쿠팡에 대한 특별 감시 체계를 가동하고, 보안 관리 체계 개선 여부를 주기적으로 점검할 계획이다. 이 과정에서 재발 방지 조치가 충분하지 않거나, 추가 유출이 확인되면 재 제재를 포함한 강력한 행정 처분이 가능하므로, 쿠팡은 단순히 제재를 넘는 구조적 개선이 요구된다.
자주 묻는 질문
쿠팡 과징금, 개인정보 유출, 보안 관리 소홀, 유출 범위, 쿠팡 파트너스, 쿠팡 CFS, 개인정보위, 3755만명 유출, 행정 제재, 수사 고발
댓글 쓰기