![[Epic Why] 쿠팡 과징금, 왜 SKT 보다 4.6배 많았나](https://cgeimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=3&simg=2026061114214304489048439a4874112222163195.jpg&nmt=29)
![[Epic Why] 쿠팡 과징금, 왜 SKT 보다 4.6배 많았나](https://cgeimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=595&simg=2026061114214304489048439a4874112222163195.jpg&nmt=29)
쿠팡은 이날 입장을 통해 "고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다"면서도 "개인정보 유출 사고 이후 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위원회의 결정에 충분히 반영되지 못한 점이 유감스럽다"고 밝혔다. 쿠팡은 개인정보 보호 프레임워크를 더욱 강화하고 고객 신뢰 회복을 위해 노력하겠다는 의지를 드러냈다.
세 가지 위반행위, 한 번에 심의
개인정보위가 쿠팡을 상대로 심의한 위반행위는 세 가지였다. 첫째는 인증 시스템과 인증서명키 관리 소홀로 인한 대규모 개인정보 유출이다. 쿠팡은 지난해 4월부터 11월까지 8개월간 회원 3천322만명과 비회원 최소 434만명의 개인정보를 노출시켰다. 총 3천756만명에 달하는 유출 규모는 SK텔레콤 사건(2천324만명)을 1천400만명 이상 초과했다.
둘째는 회원의 온라인 활동을 동의 없이 추적한 행위다. 쿠팡은 약 1천117만명의 회원이 타사 웹사이트와 앱에 접속한 기록을 무단으로 수집했다. 수집된 정보에는 방문 웹사이트의 URL, 앱 명칭, 접속 일시, 인터넷프로토콜(IP) 등이 포함됐으며, 이를 회원을 식별할 수 있는 형태로 데이터베이스에 저장했다.
이에 대해 쿠팡은 별도 입장을 제시했다. 쿠팡은 "쿠팡 파트너스는 수천 명의 국내 크리에이터, 블로거, 소상공인들이 상품을 추천하고 수익을 창출하는 프로그램"이라 설명하고, "다른 글로벌 기업들과 동일한 제휴 모델을 사용하여 고객 데이터를 보호하고 적법하게 운영하고 있다"고 주장했다.
셋째는 물류 자회사 쿠팡풀필먼트서비스(CFS)의 개인정보 침해다. CFS는 경찰청 출입기자단 명단을 취업제한 목록으로 관리했고, 근로자의 체중정보를 산업재해 소송에서 활용하는 등 안전조치 의무를 위반했다.
위반행위별 차등 제재 … 개인정보 유출 과태료 규모 커
개인정보위는 각 위반행위별로 차등 제재를 내렸다. 개인정보 유출 사고에 대해 과징금 4천235억7천500만원과 과태료 1천680만원을 부과했다. 타사 웹·앱 활동기록의 무단 수집에는 과징금 2천11억600만원을 책정했으며, CFS의 위반 행위에는 과징금 2억4천800만원을 의결했다.
유출 사건에 대한 과징금 규모가 특히 컸던 배경에는 두 가지 요소가 작용했다. 첫째는 유출 규모 자체가 크다는 점이다. SK텔레콤보다 60% 이상 많은 고객 정보가 외부에 노출됐다는 점이 중대성 판단에 영향을 미쳤다.
둘째는 과징금 산정 기준이 된 쿠팡의 매출액이다. 쿠팡의 사고 직전 3개 사업연도 평균 매출액은 약 36조원에 달했다. 개인정보위는 이 매출액에서 쿠팡플레이, 쿠팡이츠, 기업 간 거래(B2B) 관련 매출을 제외한 뒤, 중대성 판단과 가중·감경 요소를 적용해 과징금을 산정한다. 매출액이 크면 위반행위의 책임이 커진다는 논리다.
송인배 위원장은 "과징금은 매출액의 3%가 최대이지만, 실제로는 가중·감경 요소를 모두 고려해 설계되어 최대가 나오기 어렵다"며 "사안의 중대성과 피해 규모를 숙고하고 토론한 끝에 책임에 적정하고 상응하는 처분을 내렸다"고 설명했다.
조사 과정 비협조, 제재 수위 높여
과징금이 역대 최대가 되도록 상향된 또 다른 요인은 조사 과정에서의 비협조였다. 개인정보위에 따르면 쿠팡은 조사 착수 직후 사고 관련 접속기록 등 증거자료 보전 명령을 받았음에도 약 5개월치 웹 접속 로그를 수동으로 삭제했다. 또한 로그가 6개월 후 자동으로 삭제되는 내부 정책을 계속 유지해 일부 애플리케이션 로그가 소실되도록 방치했다는 지적이다.
쿠팡은 이에 대해 "2차 피해를 방지하기 위한 선제적 조치"였다고 주장했다. 개인정보위는 이 같은 비협조가 진실 규명을 방해하는 중대한 행위로 판단하고, 제재 수위를 높이는 근거로 삼았다. 다만 쿠팡의 입장에서는 피해 확산 방지 조치가 조사 비협조로 해석된 점에 대해 이의를 제기한 상황이다.
13시간 마라톤 심의, 충분한 의견 청취 보장
개인정보위는 역대 최대 규모 과징금 의결까지 13시간이 넘는 '마라톤' 심의를 진행했다. 지난 10일 오전 10시에 시작된 전체회의는 자정이 가까워져서야 마무리됐다.
송인배 위원장은 "피심인들에게 충분한 의견 진술 기회를 부여하기 위해 회의가 길어졌다"고 설명했다. 개인정보 유출 사건 관련 의견 진술과 질의응답에만 약 5시간이 소요됐으며, 온라인 활동기록 수집 등 개인정보 침해 사건에 대해서는 3시간 가량의 의견 청취와 질의응답이 진행됐다. 송 위원장은 "사안의 중대성과 피해 규모를 숙고하고 토론한 끝에 책임에 적정하고 상응하는 처분을 내리기 위해 최선을 다했다"고 덧붙였다.
쿠팡은 개인정보위원회로부터 공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다는 입장을 밝혔다. 과징금 처분에 대한 이의제기나 행정소송 등 다양한 법적 대응이 예상되는 상황이다.
[글로벌에픽 안재후 CP / anjaehoo@naver.com]
<저작권자 ©GLOBALEPIC 무단 전재 및 재배포 금지>
