쿠팡에 역대 최대 과징금…개인정보 유출에 무단수집까지

기존 최대였던 SKT 1348억의 5배…쿠팡 법적 대응 예고

박지혜 기자 | pjh@newsprime.co.kr | 2026.06.11 14:47:42

[프라임경제] 개인정보보호위원회(이하 개인정보위)가 3750여만명의 개인정보 유출 사고로 논란이 된 쿠팡에 역대 최대 규모인 총 6247억원의 과징금을 부과했다. 개인정보위는 쿠팡의 대규모 개인정보 유출 사고가 고도의 해킹 기술보다 기본적인 보안 관리 소홀에서 비롯됐다고 봤다.

송경희 개인정보보호위원회 위원장이 11일 오전 서울 종로구 정부서울청사에서 브리핑을 진행하고 있다. ⓒ 개인정보보호위원회

개인정보위는 지난 10일 제11회 전체회의를 열고, 개인정보 보호 법규를 위반한 쿠팡에 총 6246억8100만원의 과징금, 1680만원의 과태료 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다. 개인정보위는 이 안건과 관련해 전날 오전 10시부터 13시간 넘게 회의를 진행했다.

개인정보 보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다.

송경희 개인정보위 위원장은 11일 정부서울청사에서 열린 브리핑에서 "이번 유출사고는 고도의 해킹이 아닌 기본적인 안전관리 체계 미비와 관리 소홀로 인해 발생한 것으로 확인했다"고 강조했다.

개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3750여만명의 개인정보가 유출된 것으로 결론 내렸다. 이는 올해 2월 과학기술정보통신부의 민관합동조사단이 내놓은 개인정보 유출 규모인 3367만명보다 약 400만명이 더 많다.

단일 개인정보 유출사고에 내린 과징금 규모로는 역대 최대치다. 이는 종전 최고액인 SK텔레콤(017670) 개인정보 유출 사고 과징금 1348억원의 약 5배에 달한다.

개인정보 유출에 대한 과징금 규모가 역대 최대치로 나온 건 대규모 개인정보 유출 사고뿐만 아니라 법적 근거 없는 개인정보 수집·이용 행위, 계열사의 개인정보 침해 행위까지 함께 적발돼서다.

아울러 쿠팡의 사고 직전 3개 사업연도 평균 매출액이 약 36조원에 달한 점도 영향을 끼쳤다.

송 위원장은 "처분 대상은 한국의 쿠팡 주식회사"라며 "개인정보 유출 사고는 법상 사고 발생 직전 3개년도 평균 매출액을 적용해 약 30조원, 타사 온라인 활동기록 무단 수집 등 침해 사고는 발생 시점을 기준으로 직전 3개년도 평균 매출액을 적용해 약 36조원으로 산정했다"고 설명했다.

이어 "과징금은 매출액의 3%가 최대라고 돼 있지만 실제로는 가중·감경 요소를 모두 고려해 산정하도록 설계돼 현실적으로 (최대가) 나오기 어렵다"며 "사안이 얼마나 중대한지, 피해 규모는 어느 정도인지 등을 매우 숙고하고 토론한 끝에 책임에 적정하고 상응하는 처분을 내리기 위해 최선을 다했다"고 덧붙였다.

고의 또는 중대한 과실로 대규모 개인정보 유출이 발생한 경우 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 이른바 '징벌적 과징금' 제도를 담은 개인정보보호법 개정안은 오는 9월 시행될 예정이다. 이번 쿠팡 유출사고에는 적용되지 않았다.

향후 징벌적 과징금 제도가 시행되면 과징금 수위가 더 높아질 수 있는지 묻자 "중대하고 반복적인 사고, 1000만명 이상의 이용자 정보 유출, 시정명령을 이행하지 않아 사고가 발생한 경우 등 법적 요건이 있다"며 "이 요건에 해당하면 중대한 과실이나 고의 여부를 판단하게 된다. 최고 10% 이내에서 결정하게 되겠지만, 요건에 해당한다면 과징금 액수나 심각성은 더 커질 것"이라고 했다.

KT(030200) 개인정보 유출 관련 처분 발표 시기에 대한 질문에는 "이미 사전통지가 돼 있다"며 "의견 제출을 받아 현재 검토 중이다. 그렇게 멀지 않은 시기에 처분을 내리려고 한다"고 답했다.

이날 쿠팡은 개인정보위 과징금 처분에 대해 법적 대응을 예고했다.

쿠팡은 입장문을 통해 "작년 데이터 유출 사태와 관련해 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다"며 "개인정보위로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되길 기대한다"고 밝혔다.

이와 관련해 양청삼 개인정보위 사무처장은 "쿠팡은 유출 사고와 침해 사고 모두 상당히 긴 시간 의견 진술과 질의응답 기회를 가졌고, 그 이전에도 수백 페이지에 달하는 의견서를 제출했다"며 "개인정보위는 관련 내용을 면밀하게 검토했고 위원들의 심의·의결 과정에서도 충분히 참작됐다고 본다"고 했다.

양 사무처장은 SK텔레콤, 구글·메타 등 과거 처분과 비교해 쿠팡 과징금이 큰 이유에 대해서는 "개별 사건마다 성격, 위반행위의 내용, 적용 법조가 달라 일일이 비교하기는 쉽지 않다"면서도 "쿠팡은 유출 규모가 3700만명 수준이고, 회원 규모가 우리나라 경제활동인구 전체를 커버한다. 배송지 주소만 해도 공격자 주장에 따르면 1억2000만개의 주소가 관리되고 있었다"고 제언했다.

아울러 "국민 일상생활과 밀접한 온라인 플랫폼이라는 점을 고려했다"며 "보호법이 정한 법과 원칙의 테두리에서 국내외 사업자 차별 없이 처분했다"고 첨언했다.