정부가 3750만명의 개인정보를 유출한 쿠팡에 6200억원대의 역대 최대 과징금을 부과하기로 결정했다. 개인정보보호위원회는 쿠팡의 내부 보안 관리 체계 부실이 사고를 키웠다고 결론 내렸다. 쿠팡은 이번 결정에 유감을 표하며 법적 대응을 예고해 향후 치열한 법정 공방이 예상된다.
관리 소홀
개인정보보호위원회는 지난 10일 전체회의를 열고 쿠팡과 계열사인 쿠팡풀필먼트서비스(CFS)의 개인정보 보호법 위반 행위에 대해 총 6249억2900만 원의 과징금과 1680만원의 과태료를 부과하기로 의결했다. 이는 국내 개인정보 유출 사고 역사상 전례 없는 사상 최대 규모다. 현행 개인정보보호법상 과징금은 직전 3개년 평균 매출액의 최대 3%까지 부과할 수 있다.
당초 쿠팡 모회사 쿠팡Inc의 지난해 매출 약 49조원을 기준으로 하면 최대 1조5000억원 규모의 과징금 부과가 가능하는 이야기가 나오기도 했다. 결과적으로 개보위는 사고가 발생한 쿠팡 이커머스 서비스 매출을 기준으로 과징금을 산정했다. 쿠팡이츠·쿠팡플레이 등 관련없는 독립적인 매출액은 관련 매출액에서 제외했다.
조사 결과, 쿠팡은 인증 서명키 관리와 접근통제 소홀 등 가장 기본적인 안전관리 체계조차 제대로 갖추지 않았던 것으로 드러났다. 유출된 규모 역시 당초 알려진 것보다 많은 약 3750만명에 달했다. 여기에 △유출 통지 의무 위반 △개인정보보호책임자(CPO)의 독립성 보장 위반 △정부 조사 방해 행위까지 추가로 적발되며 화를 키웠다.
적발된 침해 행위는 유출만이 아니었다. 쿠팡은 타사 웹·앱에 접속한 회원 1117만명의 온라인 활동 기록을 무단 수집해 이용자 개인을 식별할 수 있는 상태로 데이터베이스(DB)에 저장해 온 사실이 추가로 드러났다. 소위 '납치 광고'로 불리는 부정 광고 파트너들을 방치해 이용자 의사에 반하는 이용 기록을 수집하게 한 행위도 시정명령을 받았다.
여기에 계열사인 CFS는 물류센터 근무 이력이 없는 경찰청 출입기자단 명단을 수집해 취업제한 목록(블랙리스트)에 등록·관리하고, 근로자의 체중 정보를 소송 과정에서 무단 제출하는 등 전방위적인 법 위반을 저지른 것으로 확인됐다.
긴장감 맴도는 업계
이번 처분은 최근 잇따라 발생한 플랫폼 업계 개인정보 유출 사고에 경종을 울렸다는 점에서 의미가 크다. 최근 OTT 서비스인 '티빙'의 데이터베이스 비인가 접근 사고와 편의점 CU 택배 서비스의 회원정보·연계정보(CI) 유출 등 대형 플랫폼을 중심으로 보안 사고가 연이어 발생하고 있다.
그간 국내 대형 플랫폼 기업들은 외형 성장과 마케팅, 인공지능(AI) 등 '돈이 되는 영역'에는 수조 원의 투자를 아끼지 않았다. 반면 내부 통제나 보안 인프라, 퇴사자 권한 관리 같은 '안전 영역'은 상대적으로 후순위에 둬왔다는 지적을 받아왔다. 쿠팡을 비롯해 최근 발생한 주요 유출 사고들 역시 발생 경로는 다르지만 '기본적인 접근 권한 관리와 내부 통제 실패'라는 공통된 문제를 드러냈다는 평가다.
특히 이번 사건은 개보위가 쿠팡의 책임 회피 논리를 받아들이지 않았다는 점에서 주목된다. 쿠팡은 전직 직원이 재직 당시 알게 된 인증 서명키를 퇴사 후 악용한 특수한 사례라고 주장했지만, 개보위는 인증 체계 설계와 관리 정책이 미흡했던 내부 보안 관리 부실이 사고의 근본 원인이라고 판단했다.
이에 대해 쿠팡은 "데이터 유출 이후 2차 피해 방지를 위해 선제적으로 조치한 점과 사실관계에 기반한 설명이 이번 결정에 충분히 반영되지 못한 점은 유감"이라며 "개인정보위로부터 공식 의결서를 수령한 뒤 법적 절차를 통해 사실관계가 명확히 규명되기를 기대한다"고 밝혔다. 업계에서는 이를 사실상 행정소송을 예고한 것으로 해석하고 있다.
이번 제재는 플랫폼 기업의 개인정보 보호 책임을 강화하는 중요한 선례를 남겼다. 하지만 근본적인 재발 방지 대책으로 이어질지는 미지수라는 평가도 나온다. 여전히 국내 기업들은 글로벌 빅테크 기업들에 비해 최고경영진 차원의 보안 책임 체계가 명확하지 않고 보안 투자 역시 비용으로 인식하는 경향이 강하기 때문이다.
업계 관계자는 "과징금과 같은 경제적 제재만으로는 기업 문화를 바꾸는 데 한계가 있다"며 "대표이사(CEO)를 비롯한 최고경영진이 보안 실패에 대해 실질적인 책임을 지도록 하는 제도적 장치가 함께 마련돼야 개인정보 보호가 기업 경영의 핵심 과제로 자리 잡을 수 있을 것"이라고 말했다.
