쿠팡 역대 최대 과징금…美 반발 우려에 "외부 영향 고려 안해" [일문일답]

[이데일리 안유리 기자] 송경희 개인정보위원장은 11일 쿠팡에 대한 충 6249억원의 과징금·과태료 부과에 대해 “개인정보보호법과 조사결과에 집중해 결론을 내렸다”면서 “외부의 어떤 영향이나 국내외 회사인지에 따른 다른 영향에 대해서는 고려하지 않았다”고 말했다.

송 위원장은 “저희 처분은 법과 원칙에 근거해서 매우 면밀한 검토와 충분한 숙고 끝에 내려진 타당한 처분이라고 생각하기 때문에 소송 제기를 한다면 거기에 맞춰서 적극적으로 대응하도록 하겠다”고 말했다.

[이데일리 방인권 기자] 송경희 개인정보보호위원회 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡 및 계열사의 개인정보 유출 및 침해 제재처분 의결을 발표하고 있다. 개인정보위는 쿠팡의 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대하여 과징금 6,246억8100만원과 과태료 1680만원 부과와 함께 시정명령 공표 및 공표 명령 등을 의결 했으며 쿠팡풀필먼트서비스(CFS)의 개인정보 수집·이용 및 민감정보 처리 제한 위반을 확인하여 과징금 2억 4800만원을 부과했다.

다음은 이날 과징금 기준 등 개인정보위 발표 내용과 송경희 개인정보위원장과 양청삼 조사국장 브리핑 내용을 일문일답으로 정리한 내용이다.

◇Q. 역대 최대 과징금, 산정 기준은?

매출에 대해서는 우리가 처분을 내린 대상은 한국의 쿠팡이기 때문에 한국의 쿠팡 매출액을 기준으로 했다. 한국 쿠팡 매출액은 공시가 되어 있고, 실제로 사업자에 의해서도 또 매출금액을 제출받아 확인된 금액이다.

기준이 된 매출액은 개인정보 유출사고에 대해서는 우리 법상 사고가 발생하기 직전 3개년도 평균을 쓰게 되어 있습니다. 3개년도 평균을 기준으로 했고요. 유출사고 경우에는 약 30조원 가량, 무단 수집·침해 분야는 2025년도에 발생했기 때문에 3개년도 평균을 했을 때 약 36조원 가량이다.

유출 분야와 침해 분야 모두 해당 사업과 전혀 관련이 없다고 하는 독립적인 매출에 대해서는 제외를 했다. 쿠팡이츠나 쿠팡플레이, B2B(기업간거래) 사업 금액이다. 실제로 이커머스에 대한 전반적인 매출액은 다 포함이 돼 있다.

◇Q. 역대 11시간 최장 심의, 전체 회의가 길어졌던 이유?

피심인(쿠팡)이 자기들의 입장을 충분히 얘기하고 의견 진술할 기회를 부여하고자 하는 게 컸다.

유출 부분에 대해 5시간 정도 논의했고, 침해 조사와 침해 부분 논의에 경우에도 거의 3시간 가까이 피심인들의 의견 진술과 질답하는 과정이 있었다. 나머지 3시간은 사업자가 퇴장하고 위원님들과 위원들간의 질의하는 과정이었다.

◇Q. 과징금 부과의 기준이 되는 중대성 판단은 어떤 기준을 가장 엄중하게 보았는지 궁금하다.

쿠팡 개인정보 유출 사고 개요 (사진=개인정보보호위원회)

인증토큰 기반의 권한관리 시스템을 쓰면서도 그에 합당하게 필요한 필수적인 키 관리, 매니지먼트를 하는 데실패했다고 보여진다. 그로 인해서의 안전한 인증수단을 관리해야 한다는 보호법을 위반했다.

그리고 쿠팡은 사실 우리 국민 경제활동인구가 거의 모두 이용하는 우리 국민적인 온라인 플랫폼이다. 온라인 플랫폼이어서, 사실은 온라인 플랫폼에서 다루는 개인정보처리시스템에 대한 어떤 침입 탐지라든지 대응분석 체계가 사실은 어떤 사업자보다도 고도로 높을 것이 요구가 되는데 일반 상품 페이지와 개인정보 페이지에 있어서의 뭐랄까, 비정상 트래픽에 대한 임계치를 동등하게 설정해 침입 탐지하는데 실패했다. 이런 부분은 굉장히 중대한 위반 행위로 봤고 해서 과징금 처분의 중대성을 판단해 고려했다.

개인정보 수집과 관련해서, 정보 주체가 사실상 이와 관련된 타사 웹과 앱의 온라인 활동 기록들이 수집된다, 라는 어떤 고지도 받은 것이 없고 그리고 고지에 따른 실질적인 선택권들을 행사하지 못했기 때문에 이러한 것이 동의 의무 위반이라고 저희들이 판단을 해서 이번에 엄중하게 제재하게 됐다.

◇Q.쿠팡 측이 피해보상프로그램으로 5만원 쿠폰팩은 감경 기준으로 작용했나?

보상 프로그램과 관련해서 정확하게 심의 과정에 고려를 하기 위해서는 정확하게 쿠팡에서 시행하는 프로그램이 어느 정도로 이용자들에게 이용됐는지가 정확하게 확인되는 게 중요한데, 어제의 심의·의결 과정에서 쿠팡에서 답변을 하지 않아서 정확하게 얼마 집행됐는지 이런 것들은 확인이 안 되고 있는 상황이다. 종합적으로는 저희들 가중·감경을 판단할 적에 일부 고려가 됐다.

◇Q. 타사 앱과 웹에 방문 기록 수집은 어떻게 이뤄졌는가?

타사 온라인 활동기록을 수집하는 쿠팡 광고(예시) (사진=개인정보보호위원회)

어떤 사이트를 방문했다고 하면, 그 사이트에 방문만 해도 방문하는 일시, 그러니까 시간, 그거와 URL 등에 관한 정보가 쿠팡으로 전송이 된다. 쿠팡의 광고 도구가 게재된 사이트에 방문했을 경우, 방문한 기록 등이 개인을 식별할 수 있는 형태로, 즉 개인의 회원 일련번호와 결합이 된 상태로 쿠팡의 DB에 저장이 된다.

쿠팡의 배너를 클릭하지 않더라도 자동적으로 그 도메인에 접속했던 시점에 막바로 URL하고, 그리고 PC ID, 아까 기기식별자가 쿠팡으로 접속돼서 맞춤형 광고에 필요한 여러 가지 대조를 한 다음에 광고용 DB에 적재가 돼서 URL 정보, 타사의 웹의 정보들이 쿠팡에서 보관하고 있는 형태가 된다.

◇Q. 쿠팡에서 어떤 조사 방해 행위가 있었나?

접속 로그 기록에 대한 삭제가 있었다. 개인정보위가 조사를 개시하고 자료보전명령을 내렸는데도 삭제가 됐고. 자동 삭제하는 그런 시스템이 있는데 그 역시도 중단을 시키지 않아서 또 한 번 자동 삭제되는 일들이 있었다. 개인정보위가 확인한 내용에 기초해 최종 처분을 내릴 수밖에 없기 때문에 조사를 어렵게 한 그런 행위가 있었다. 조사를 어렵게 한 행위에 대해서는 법에 따라 수사기관에 고발조치가 이뤄질 예정이다.

◇Q. 지난 처분 및 타사와의 형평성이 고려됐나?

SK텔레콤 사건과 쿠팡 사건하고는 위반행위라든지 어떤 특성들이 다르기 때문에 단순히 이렇게 대비하거나 비교할 수 없다. 개인정보보호법에 정하는 법과 원칙의 테두리에 따라서 국내외 사업자 차별 없이 처분을 했다.

◇Q. 분쟁조정 절차는 언제 재개되나? 참여할 수 있나?

12일부터 재개된다. 추가 참여도 가능하며, 26일까지 접수받는다.