정부가 대규모 개인정보 유출 사고를 일으킨 쿠팡과 쿠팡풀필먼트서비스(CFS)에 대해 역대 최대 규모의 과징금을 부과했다.
개인정보보호위원회는 11일 개인정보 보호법 위반 혐의로 쿠팡과 쿠팡풀필먼트서비스에 총 6249억 원 규모의 과징금과 과태료를 부과하고 시정명령, 결과 공표, 개선 권고, 검찰 고발 조치를 의결했다고 밝혔다.
이번 처분은 지난해 SK텔레콤 유심 정보 유출 사고에 대한 과징금 규모를 크게 웃도는 수준으로, 국내 개인정보 유출 사건 가운데 가장 강력한 제재로 평가된다.
개인정보보호위원회 조사 결과 유출된 개인정보는 쿠팡 회원 3322만 명과 비회원 최소 433만 명 등 총 3755만 명을 넘어서는 것으로 확인됐다. 특히 비회원의 경우 쿠팡 이용자가 배송지로 등록한 가족과 지인의 이름, 전화번호, 주소 등이 포함된 것으로 드러났다.
유출 정보에는 회원 정보뿐만 아니라 배송지 정보, 주문 내역 등이 포함됐으며, 일부 이용자의 경우 상품명과 구매 수량, 결제 금액 등 민감한 소비 정보도 외부에 노출된 것으로 조사됐다.
개인정보위는 이번 사고가 외부의 고도화된 해킹 공격보다는 내부 보안 관리 소홀에서 비롯된 것으로 판단했다. 정보를 유출한 인물은 과거 쿠팡에서 근무하며 인증 시스템 개발에 참여했던 전직 직원으로 확인됐다.
조사 과정에서 쿠팡은 인증에 사용되는 중요 보안키를 적절히 보호하지 않았고, 퇴직자 접근 차단과 보안키 변경 등 기본적인 보안 조치도 미흡했던 것으로 나타났다. 또한 대규모 비정상 접속이 발생했음에도 이를 탐지하거나 차단하지 못한 것으로 조사됐다.
사고 이후 대응 과정에서도 문제점이 드러났다. 쿠팡은 개인정보 유출 사실을 법정 기한 내 통지하지 않았으며, 정보가 유출된 비회원들에게는 관련 사실을 알리지 않은 것으로 확인됐다. 탈퇴 회원 정보와 계좌정보 등도 내부 규정과 달리 장기간 보관해 온 것으로 나타났다.
특히 정부 조사 과정에서 접속 기록 일부가 삭제된 사실도 확인되면서 조사 방해 의혹까지 제기됐다. 이에 개인정보보호위원회는 쿠팡에 대한 검찰 고발과 함께 인증체계 전반 개선, 비회원 대상 유출 통지, 보안 관리 강화 등을 명령했다.
개인정보보호위원회는 이번 처분이 온라인 플랫폼 기업들의 개인정보 보호 책임을 강화하는 계기가 될 것으로 기대하고 있으며, 앞으로도 대규모 개인정보 유출 사고에 대해 엄정하게 대응한다는 방침이다.
송경희 개인정보보호위원회 위원장은 “국민의 개인정보를 다량으로 보유한 플랫폼 기업은 그에 상응하는 보안 책임을 다해야 한다”며 “국민이 안심하고 서비스를 이용할 수 있도록 개인정보 보호 체계를 지속적으로 강화해 나가겠다”고 말했다.
Copyright ⓒ 코리아이글뉴스 무단 전재 및 재배포 금지
