[쿠팡 과징금] 역대 최대 SKT 넘은 쿠팡 과징금…'기본 보안 부실'이 키웠다 작성일 06-11 24 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">송경희 개인정보위 위원장 "고도의 해킹 아닌 관리 소홀"<br>3755만명 정보 유출·타사 활동기록 무단수집…쿠팡 "법적 절차로 다툴 것"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="HtFeEFFYWX"> <figure class="figure_frm origin_fig" contents-hash="d35dc0d9dfc66d1b030eef7239199e80a3d03169617814fd43b3a19bc894130b" dmcf-pid="XF3dD33GSH" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희 개인정보보호위원회 위원장이 지난 10일 오전 서울 종로구 정부서울청사에서 개최된 제11회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.[사진=개인정보보호위원회]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/552779-26fvic8/20260611123043054xzfy.jpg" data-org-width="640" dmcf-mid="WLScv99Uy1" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/552779-26fvic8/20260611123043054xzfy.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희 개인정보보호위원회 위원장이 지난 10일 오전 서울 종로구 정부서울청사에서 개최된 제11회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.[사진=개인정보보호위원회] </figcaption> </figure> <div contents-hash="3bd2d5db5df1c7d819eab1c68f5dae8d76e0ae028d77836f53b10f498614ebbd" dmcf-pid="Z30Jw00HvG" dmcf-ptype="general"> <br>개인정보보호위원회(개인정보위)가 쿠팡에 역대 최대인 6246억 8100만원의 과징금을 부과한 것은 단순한 해킹 사고가 아니라 기업의 기본적인 개인정보 보호 의무를 전반적으로 소홀히 한 결과라고 판단했기 때문이다. 개인정보 유출뿐 아니라 법적 근거 없는 개인정보 수집, 조사 방해, 개인정보 파기 의무 위반 등 복수의 위반 사항이 확인되면서 종전 최대였던 SK텔레콤 제재 규모를 넘어서는 처분이 내려졌다. </div> <p contents-hash="4605e61ffb3c348d2b4ca3ab7b5a5b6a8c8dd3a58661c652334b02b4adeb1439" dmcf-pid="50pirppXvY" dmcf-ptype="general">송경희 개인정보위 위원장은 11일 정부서울청사에서 브리핑을 열고 "이번 사고는 고도의 해킹이 아니라 인증 서명키 관리와 접근통제 등 기본적인 안전관리 체계가 미흡해 발생한 사고"라며 "국내외 기업 여부와 관계없이 법과 원칙에 따라 책임에 상응하는 처분을 내렸다"고 밝혔다.</p> <p contents-hash="4223619fa3d5b10e1c02c34dae2fa0db5d1c67c6d4e55918a044fa96c7b52b02" dmcf-pid="1pUnmUUZCW" dmcf-ptype="general">이번 처분은 전날 열린 개인정보위 전체회의에서 13시간이 넘는 심의를 거쳐 확정됐다. 오전 10시에 시작한 회의는 오후 11시30분께 종료됐으며, 쿠팡 측이 출석해 의견을 개진하고 위원들과 질의응답을 이어가면서 장시간 논의가 이뤄졌다.</p> <figure class="figure_frm origin_fig" contents-hash="1f3261ed7cbf8f5e1add0da51e116719be840e02b6adb3549a32481928e05aaa" dmcf-pid="tUuLsuu5yy" dmcf-ptype="figure"> <p class="link_figure"><img alt="쿠팡의 공격 개요 그래픽[사진=개인정보보호위원회]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/552779-26fvic8/20260611123044325rnuq.png" data-org-width="640" dmcf-mid="YmEFVEEoh5" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/552779-26fvic8/20260611123044325rnuq.png" width="658"></p> <figcaption class="txt_caption default_figure"> 쿠팡의 공격 개요 그래픽[사진=개인정보보호위원회] </figcaption> </figure> <div contents-hash="deddc9ddfceb7b755aaf2165f07e979b5be35f390542b06bf87929a1fd9e277b" dmcf-pid="Fu7oO771yT" dmcf-ptype="general"> <br>사건은 지난해 11월 20일 쿠팡이 해커의 협박 메일을 받은 고객 민원을 계기로 개인정보 유출 사실을 신고하면서 시작됐다. 개인정보위는 다음날 즉시 조사에 착수했고, 국민 다수가 이용하는 생활 인프라 플랫폼이라는 점을 고려해 한국인터넷진흥원(KISA)과 합동 태스크포스(TF)를 꾸려 집중 조사에 나섰다. </div> <p contents-hash="911ad9c800858293652ebaa6f0bc41cdfe043973ccd29a19d5ce5da66edbb655" dmcf-pid="32VEyVV7hv" dmcf-ptype="general">이후 쿠팡은 자체 조사 과정에서 최초 신고보다 훨씬 큰 규모의 유출을 확인해 11월 29일 2차 신고를 했고, 올해 2월에는 약 16만 5000개 회원 계정의 추가 유출을 확인해 3차 신고를 했다.</p> <p contents-hash="3a66738199626245fe2cfc383429e5959cdc215538ee7fd04b44eb47a2557793" dmcf-pid="0VfDWffzWS" dmcf-ptype="general">조사 결과 해커는 지난해 말 퇴사한 쿠팡 전직 직원으로, 재직 당시 직접 개발했던 대체 인증 체계의 서명키를 이용해 올해 4월부터 11월까지 회원정보 수정, 배송지 관리, 주문목록 페이지 등에 반복적으로 접근하며 개인정보를 빼낸 것으로 확인됐다. 유출 규모는 회원 3322만명과 회원이 아닌 배송지 정보 주체 최소 433만명을 합쳐 약 3755만명에 달했다.</p> <p contents-hash="647f6881942868b616b0e31d89bd84a86e44fb02e81923e62e721ea1c9aef6cc" dmcf-pid="pf4wY44qWl" dmcf-ptype="general">개인정보위는 특히 쿠팡의 안전조치 의무 위반을 중대한 문제로 판단했다. 인증 서명키를 평문으로 열람할 수 있도록 관리했고, 해당 키에 접근 가능했던 직원이 퇴사한 뒤에도 키를 즉시 폐기하거나 교체하지 않았다. 또 공격 기간 동안 1억 4800만회에 달하는 비정상 접속과 급격한 트래픽 증가가 발생했음에도 이를 탐지하지 못했고, 이상 징후에 대한 추가 분석도 이뤄지지 않았다. 개인정보위는 "공격 사실조차 인지하지 못한 것은 접근통제가 제대로 작동하지 않았다는 의미"라고 설명했다.</p> <p contents-hash="f759cec7cac059c1ce72fc20d55b27ffab886a8d4141228f850e602382c377d7" dmcf-pid="U48rG88Blh" dmcf-ptype="general">유출 이후 대응도 미흡했다고 판단했다. 쿠팡은 추가 유출 사실을 인지하고도 법정 기한인 72시간 내 통지하지 않았고, 회원이 아닌 배송지 정보 주체에 대해서는 개인정보위의 수차례 요구에도 유출 사실을 알리지 않았다. 탈퇴 회원의 개인정보를 내부 규정과 달리 보관해 일부가 실제 유출됐으며, 조사 과정에서는 자료보전 명령 이후 웹 접속 로그를 삭제하거나 자동 삭제 정책을 유지해 사고 원인 규명을 어렵게 한 점도 적발됐다. 개인정보위는 조사 방해 혐의에 대해서는 고발 조치하기로 했다.</p> <p contents-hash="b49004a164b057fc0cab01ae3c5964271957bb2abcc20ae356b77dd535ed3893" dmcf-pid="u86mH66bTC" dmcf-ptype="general">이와 별도로 개인정보위는 쿠팡이 '쿠팡 파트너스'를 운영하면서 이용자 약 1117만명의 타사 웹사이트·앱 방문 기록을 동의 없이 수집해 회원번호와 함께 저장한 사실도 확인했다. 개인정보위는 맞춤형 광고를 위해 개인의 온라인 활동기록을 수집하면서 법적 근거를 갖추지 않았고, 광고 파트너의 이른바 '납치광고'도 제대로 관리하지 않았다며 관련 위반에 대해서만 2011억 600만원의 과징금을 추가 부과했다.</p> <figure class="figure_frm origin_fig" contents-hash="c901213dcd3a801e41da6ceae3b5e95cd4a3780014f28b234f60eeff5a71eaf9" dmcf-pid="76PsXPPKlI" dmcf-ptype="figure"> <p class="link_figure"><img alt="개인정보보호위원회의 처분에 관한 쿠팡의 입장문[사진=홈페이지 캡쳐]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/552779-26fvic8/20260611123045579yast.png" data-org-width="640" dmcf-mid="GrD3fDDgWZ" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/552779-26fvic8/20260611123045579yast.png" width="658"></p> <figcaption class="txt_caption default_figure"> 개인정보보호위원회의 처분에 관한 쿠팡의 입장문[사진=홈페이지 캡쳐] </figcaption> </figure> <div contents-hash="d02c2c808e2ebdb17bc381ca67d8a3ab6903b0124e4b5894623c8bd1c1b6c55e" dmcf-pid="zPQOZQQ9SO" dmcf-ptype="general"> <br>쿠팡은 개인정보위 결정에 대해 유감을 표했다. 회사는 "데이터 유출 사태와 관련한 2차 피해 방지를 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위 결정에 충분히 반영되지 않았다"며 "공식 의결서를 받은 뒤 법적 절차를 통해 사실관계가 명확히 규명되기를 기대한다"고 밝혔다. 또한 쿠팡 파트너스 역시 글로벌 기업과 동일한 제휴 모델을 기반으로 적법하게 운영되고 있다는 입장을 내놨다. <br> </div> </section> </div> 관련자료 이전 순천시청 양궁팀 유시현, 한국실업양궁연맹 회장기 2관왕 달성…금메달 2개 획득 06-11 다음 [개인정보위 쿠팡 제재③] 정보유출만 문제 아니었다…물류센터 자회사도 2억원대 과징금 06-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
