개인정보위, 쿠팡에 역대 최대 6천억 과징금…'허위사실 유포' 이유로 기자 71명 취업제한 목록 등록

개보위, 역대 최대 6천억대 과징금…유출 사과하면서도 "법적 절차" 예고한 쿠팡

(서울=연합뉴스) 양정우 기자 = 11일 개인정보보호위원회가 쿠팡에 6천억원대 역대 최대 과징금 부과와 함께 위반행위 내용을 상세하게 공개하면서 이용자 개인정보 보호를 도외시해온 쿠팡의 민낯이 드러나게 됐다.

11일 개인정보위 등에 따르면 쿠팡 전 직원의 해킹 공격으로 쿠팡에서 유출된 개인정보는 모두 3천756만명에 달하는 것으로 조사됐다. 여기에는 회원 3천322만명은 물론 회원이 아닌 정보주체도 최소 434만명이 포함됐다.

개인정보 유출규모는 올해 2월 과학기술정보통신부 민관합동조사단이 내놓은 조사결과 보다 약 400만명 가까이 늘어난 것이다.

이날 개인정보위는 쿠팡 유출 사고의 주된 이유로 고도의 해킹공격이 아닌 기본적인 안전조치 소홀을 짚었다.

해커의 능력이 뛰어나 개인정보를 대규모로 빼돌린 것이 아니라 쿠팡 측의 안전관리 체계 미비와 관리 소홀이 유출 사고의 원인이라는 것이다.

쿠팡이 운영하는 토큰 기반의 인증체계는 전자서명 검증만으로 인증을 허용하는 방식이다. 서명에 사용되는 키 관리에 실패할 경우 전체 회원계정에 대한 무단 접근 위험성이 높아져 엄격한 관리가 필수였으나 쿠팡은 그러지 못했다.

쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 했다.

전직 직원이 퇴사한 뒤에도 서명키를 즉각 갱신·폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않은 것으로 조사됐다.

해커의 공격 기간 과도한 트래픽이 발생하는 등 비정상적 접속이 있었지만, 쿠팡은 해커의 협박 메일을 받기 전까지는 유출 사고에 '깜깜이'였다는 게 개인정보위 설명이다.

쿠팡은 유출사고를 인지한 뒤로도 개인정보보호법에서 정한 72시간 내 신고의무도 지키지 않았다. 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보가 존재해 이들에 대해 유출통지를 하라는 수차례 촉구도 외면했다.

조사를 통해서는 쿠팡의 웹 접속 로그기록 등 자료 폐기도 확인됐다.

개인정보위는 쿠팡이 약 5개월 분량의 웹 접속 로그를 수동 삭제해 최초 유출 시점 등 사실관계 규명을 어렵게 하는 등 조사방해 행위가 있었다고 봤다.

쿠팡은 대규모 개인정보 유출사고 외에도 약 1천100만 이용자의 타사 온라인 활동기록을 무단 수집한 행위로도 2천억원이 넘는 과징금을 부과받았다. 정보유출 사고 과징금(약 4천237억원)을 합하면 과징금 규모가 6천200억원을 상회한다.

쿠팡이 정보주체 동의 없이 수집한 타사 온라인 활동기록은 기기 식별자·회원번호와 함께 광고 데이터베이스(DB)에 저장돼 그 자체로도 개인 식별이 가능한 개인정보에 해당한다.

개인정보위는 이런 활동기록이 여러 서비스와 웹·앱에 걸쳐 수집돼 개인의 관심사와 성향 등을 폭넓게 파악할 수 있고, 장기 누적될 경우 개인을 프로파일링하거나 사상·신념·건강 등 민감정보의 추론 가능성도 있어 정보주체 권리 침해 위험 가능성이 크다고 봤다.

쿠팡 자회사인 쿠팡풀필먼트서비스(CFS)의 기자 정보 무단 수집도 확인됐다.

쿠팡 물류센터를 운영하는 CFS는 비위행위를 한 임직원의 물류센터 재취업을 막고자 문제가 된 이들을 취업제한 목록에 등록해 관리해왔는데, 이를 경찰청 출입기자 71명에게도 적용됐다.

쿠팡이 취업제한 목록에 등록한 이유는 '허위사실 유포'였다. 등록 과정에서 별도로 기자들로부터 동의를 받거나, 등록 사실을 알린 바도 없었다.

쿠팡은 이날 개인정보위의 과징금 제재와 관련 "개인정보 유출 사고로 인해 고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다"면서도 "법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다"며 법적 소송 가능성을 예고했다.