• 프린트
  • 메일
  • 스크랩
  • 글자크기
  • 크게
  • 작게

'개인정보 유출' 쿠팡, 6247억 과징금…역대 최대

전직 쿠팡 직원 해킹…인증키 관리·접근통제 소홀 등 안전관리 미흡

박지혜 기자 | pjh@newsprime.co.kr | 2026.06.11 11:48:35
[프라임경제] 3750여만명의 개인정보 유출 사고로 논란이 된 쿠팡이 정부로부터 과징금 총 6246억8100만원을 부과받았다. 이는 정부가 단일 기업에 부과한 과징금 중 역대 최고액이다. SK텔레콤(017670) 개인정보 유출 사건 때 '역대 최대'로 부과된 과징금 1348억원을 뛰어넘는 규모다.

송경희 개인정보보호위원회 위원장이 지난 10일 오전 서울 종로구 정부서울청사에서 개최된 2026년 제11회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. ⓒ 개인정보보호위원회


개인정보보호위원회(이하 개인정보위)는 지난 10일 제11회 전체회의를 열고, 개인정보 보호 법규를 위반한 쿠팡에 총 6246억8100만 원의 과징금과 1680만원의 과태료 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결했다.

또 개인정보 보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(CFS)에 대해서도 총 2억4800만원의 과징금 부과를 의결했다.

개인정보위는 해커가 보낸 협박 메일을 받은 고객의 민원 접수를 통해 회원 4536명의 개인정보가 유출된 사실을 인지한 쿠팡이 지난해 11월20일 최초 유출 신고를 해 옴에 따라 다음날 조사에 착수했다.

지난해 11월 30일에는 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 관련 사실관계, 개인정보 보호 법규 위반 여부 등을 중점 확인했다.

해커는 과거 쿠팡에서 근무하던 당시 대체 인증을 직접 개발했던 전직 직원이다. 대체 인증 서명키를 획득한 이후 사전 유출 테스트 과정을 거쳐 지난해 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 개인정보를 유출한 것으로 드러났다.

해커는 지난해 1월25일 본인 계정을 포함한 총 95개 계정에 대해 이전에 탈취한 인증 서명키와 회원번호를 이용해 대체 인증토큰을 생성했다. 이를 통해 회원정보 수정 페이지 및 배송지 관리 페이지를 대상으로 유출 테스트를 수행했다.

이후 4월14일부터 6월25일까지 회원번호를 순차적으로 증가시키며 다수의 위조 인증토큰을 생성하였고, 배송지 관리 페이지에 약 1억4800만회 접근해 유효한 회원번호를 파악하고, 배송지 정보를 유출했다.

이어 6월24일부터 10월12일까지 앞선 단계에서 파악한 유효한 회원번호와 인증서명키를 이용해 회원정보 수정 페이지에 3496만6812회 접근해 개인정보를 유출했다.

9월26일부터 11월8일까지 배송지 수정 페이지에 5만474회, 주문 목록 페이지에 8만5213회 접근해 공동현관 비밀번호, 주문정보를 추가로 유출했다.

해커는 유출한 정보를 조합해 회원별 프로필을 재구성했고 샘플 데이터를 포함한 두 차례 협박 메일을 회원과 쿠팡 측에 각각 발송했다.

TF 조사 결과, 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근해 총 3322만2472명의 '회원' 개인정보(계정 기준)와 최소 433만8368명(휴대전화번호 기준)의 '회원이 아닌 정보주체'(배송지 관리 페이지 내에 포함)의 개인정보를 유출한 것으로 확인됐다. 

회원정보 수정 페이지에서 3305만7012명의 회원 개인정보가 유출된 것으로 나타났다.

배송지 관리 페이지에서는 최소 2237만5359명의 회원이 등록한 배송지 정보 6398만6351건이 유출됐다.

아울러 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함돼 있었다. 회원이 아닌 정보주체는 최소 433만8368명(휴대전화번호 기준)으로 파악됐다.

주문 목록 페이지에서는 회원 5만8349명의 주문내역 27만2470건이 유출된 것으로 확인됐다. 

쿠팡의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생한 것으로 확인됐다.

개인정보위는 쿠팡의 인증 서명키 관리와 접근 통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3750여만명의 개인정보가 유출된 것으로 결론 내렸다.

조사 과정에서 쿠팡은 배송지 관리 페이지를 통해 회원 약 16만명의 개인정보가 추가 유출된 사실을 올해 1월30일경 인지했음에도 법령에서 정한 72시간이 경과한 2월5일에서야 유출 사실을 통지했다.

아울러 개인정보위는 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이들에 대한 유출통지를 이행할 것을 수차례 촉구했지만, 쿠팡은 이에 대한 통지를 이행하지 않았다. 해당 정보주체는 유출사실을 인지하지 못해 2차 피해 예방을 위한 대응 기회를 상실하게 됐다.

또한 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했다.

개인정보위는 쿠팡에 유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 유출 통지, CPO의 실질적인 역할 보장 등의 시정명령을 내렸다.

또 탈퇴회원의 개인정보 처리체계와 관련해 개선을 권고하고, 3개월 내 이행 및 조치 결과를 확인하기로 했다.

개인정보위는 쿠팡이 국내 최대의 온라인 플랫폼 사업자이면서 인증 서명키를 안전하게 관리하지 않는 등 안전조치 의무를 소홀히 해 대규모의 개인정보 유출을 초래한 행위에 대해 과징금 4235억7500만원을, 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만원을 부과하기로 결정했다. 

유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리‧통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 '회원이 아닌 정보주체' 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다.

이 밖에 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관·관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고했다.

쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령하였고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다.

이와 함께 개인정보위는 쿠팡에서 타사의 웹·앱에 접속한 회원 약 1117만명의 온라인 활동기록을 무단 수집해 이용자 개인을 식별한 상태로 데이터베이스(DB)에 저장한 위반행위도 확인해 과징금 2011억660만원을 별도 부과했다.

아울러 타사 웹·앱에서도 개인을 식별한 정보가 처리되어 맞춤형 광고가 게재될 수 있다는 사실을 이용자에게 명확히 고지하고, 마케팅 관련 개인정보 수집·이용 동의도 쉽게 철회할 수 있도록 할 것과, 사내 개인정보 처리 현황이나 보호법 준수와 관련한 내부적인 검토를 강화할 것을 내용으로 하는 시정조치와 함께 처분받은 사실을 쿠팡이 운영 중인 홈페이지에 공표할 것을 명했다.

개인정보위는 쿠팡의 물류센터를 운영하는 자회사인 쿠팡풀필먼트서비스(CFS)가 물류센터에 근무한 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 목록에 등록·관리한 점도 개인정보 수집·이용 관련 규정을 위반했다고 봤다.

또 '임직원 건강관리'를 목적으로 보유·관리하는 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것도 민감정보 처리 위반으로 보고 과징금 2억4800만원을 개별 부과했다.

송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보를 안전하게 보호하고 이용할 수 있는 환경을 마련하기 위해 더욱 노력하겠다"고 말했다.

박지혜 기자
박지혜 기자의 전체기사 보기
  • 이 기사를 공유해보세요  
  •
  •  
  •    
맨 위로

ⓒ 프라임경제(http://www.newsprime.co.kr) 무단전재 및 재배포금지




 

많이 본 뉴스