쿠팡이 대규모 개인정보 유출 사고에 이어 이용자들의 온라인 활동기록까지 무단 수집한 사실이 적발되며 역대 최대 규모의 과징금 처분을 받았다. 계열사인 쿠팡풀필먼트서비스(CFS)도 개인정보 수집·이용 및 민감정보 처리 위반이 확인돼 제재 대상에 올랐다.
개인정보보호위원회는 지난 10일 전체회의를 열고 쿠팡이 개인정보보호를 위한 안전조치 의무를 위반하고 법적 근거 없이 개인정보를 수집했다며 과징금 총 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다고 11일 밝혔다.
개인정보위는 쿠팡이 인증 서명키 관리와 접근통제를 소홀히 하는 등 기본적인 안전관리 체계가 미흡했다고 판단했다. 이로 인해 약 3755만명의 개인정보가 유출됐다고 결론내렸다.
쿠팡이 해커에 대한 자체 조사 과정에서 개인정보보호책임자(CPO)를 의사결정에서 배제했다는 사실도 드러났다. 개인정보위는 쿠팡이 CPO에게 관련 정보를 공유하지 않고, 해커 진술에만 의존한 조사 결과를 외부에 공개해 사회적 혼란을 야기했다고 지적했다.
아울러 쿠팡이 회원탈퇴 후 90일이 넘으면 개인정보를 즉시 파기하도록 하는 내부 규정을 지키지 않았고, 해킹 이후 개인정보위의 조사 과정에서도 각종 증거자료를 폐기하는 등 조사를 방해했다고 판단했다.
광고 파트너를 통해 개인정보를 무분별하게 수집하는 관행도 제재 대상에 올랐다. 쿠팡은 자사 광고가 게재된 타사 웹·앱에 접속한 회원 약 1117만명의 온라인 활동기록을 법적 근거 없이 수집했다. 수집 정보에는 방문 URL·앱 이름, 접속 일시, 접속 IP 등이 포함됐다. 해당 정보는 이용자를 식별한 상태로 데이터베이스(DB)에 저장된 것으로 조사됐다.
광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제 전환되는 '부정 광고(납치 광고)'를 적절히 제재하지 않은 사실도 드러났다. 쿠팡은 납치 광고에 대한 이용약관과 운영정책을 마련하고 이를 제재한다고 밝힌 바 있다. 그러나 개인정보위 조사 결과 쿠팡은 이에 대한 관리·감독을 소홀히 한 사실이 확인됐다.
쿠팡 계열사 쿠팡풀필먼트서비스(CFS)에도 2억4800만원의 과징금이 부과됐다.
CFS는 물류센터에 근무한 이력이 없는 경찰청 출입기자 71명을 취업제한 목록에 등록했다. 등록 과정에서 해당 정보 주체의 동의를 받지 않았고 등록 사실도 알리지 않았다. 개인정보위는 정보 주체의 동의 없이 개인정보를 무단으로 수집한 행위에 대해 개인정보 수집·이용 위반으로 판단해 2억2000만원의 과징금을 부과했다.
또 CFS가 임직원 건강관리 목적으로 보유하던 근로자의 체중 수치 분석 자료 등을 법원에 제출한 것도 문제삼았다. 소송 방어권 행사 목적이라 하더라도 개인의 민감정보를 임직원의 동의나 법령상 근거 없이 민감정보를 넘긴 것은 잘못됐다는 것이다.
송경희 개인정보위 위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 말했다.
