'개인정보 유출' 쿠팡에 역대급 과징금…정부, 조사 방해에 고발 카드 꺼냈다 (종합) 작성일 06-11 23 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="tq6unIIkWH"> <figure class="figure_frm origin_fig" contents-hash="19c1b0dc0f002d4876441d09252ed0616c3e12688e8b43feb3d157ea43a0daa7" dmcf-pid="FBP7LCCEWG" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/552796-pzfp7fF/20260611151730384puhc.jpg" data-org-width="640" dmcf-mid="5qd9AyyOWZ" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/552796-pzfp7fF/20260611151730384puhc.jpg" width="658"></p> </figure> <p contents-hash="c67a142d4f1c3fa832d7d58962a867107305960a2fed89b8edb7f143d2414fb5" dmcf-pid="3bQzohhDTY" dmcf-ptype="general">[디지털데일리 김보민기자] 개인정보보호위원회가 지난해 쿠팡에서 발생한 개인정보 유출 사고에 대한 제재안을 발표했다. 유출 소식이 나온 지 7개월 만으로, 쿠팡은 SK텔레콤보다 높은 역대 최대 과징금을 물게 됐다.</p> <p contents-hash="5743ea56d3ec29a57d743ec1eec760b23302ca60665e07c048ec57792631e15b" dmcf-pid="0KxqgllwvW" dmcf-ptype="general">쿠팡은 입장문을 통해 억울하다는 입장을 표했지만, 개인정보위는 기본적인 안전 조치가 미흡해 대규모 피해가 발생한 점을 고려했을 때 합당한 제재라고 맞붙었다. 쿠팡이 조사 과정에 필요한 자료를 일부 삭제한 점도 문제점으로 꼽았다. 이와 관련해서는 고발 조치도 병행할 계획이다.</p> <p contents-hash="55565474048c3145018c0ffe977728f6b76d97403dfb4b18c08d5c5a179064b1" dmcf-pid="p9MBaSSrWy" dmcf-ptype="general"><strong>◆ 자료 보전 명령에도 로그 삭제한 쿠팡…비회원 총 피해는 미궁 속</strong></p> <p contents-hash="8cf0c3be2f365dc7dfe18667829a9a201cff2205179917527378a63f14221c1b" dmcf-pid="U2RbNvvmlT" dmcf-ptype="general">송경희 개인정보위 위원장은 11일 서울 종로구 정부서울청사에서 브리핑을 열고 "전날 전체회의를 통해 쿠팡의 개인정보 유출 및 침해사고에 대한 시정 조치안을 의결했다"며 "13시간 넘게 사업자 의견 진술을 듣고 위원들 간 논의를 거쳐 과징금 총 6246억8100만원과 과태료 1680만원을 부과하기로 했다"고 밝혔다. 법 위반 사항이 발견된 쿠팡풀필먼트서비스(CFS)에도 2억4800만원 과징금이 부과됐다.</p> <p contents-hash="114e601e0911752fc4474579478e6798f40061aaf4c21a59158cec8c6e118f65" dmcf-pid="uVeKjTTsSv" dmcf-ptype="general">개인정보위 조사 결과에 따르면 이번 유출 사고로 피해를 본 회원은 약 3322만명, 회원이 아닌 정보주체(비회원)는 약 433만명이다. 정부 민관합동조사단은 지난 2월 브리핑을 통해 "회원·비회원 개인정보 등은 개인정보위가 최종적으로 판단할 부분"이라고 밝힌 바 있다. 개인정보위는 비회원 규모를 '최소 433만명'이라고 명시하며 실제 피해 규모가 커질 수 있음을 시사했다.</p> <p contents-hash="85ce92ed75522a72f198f8526bdf159e7bd2050dc20bb1bd722d7b27e1d6f402" dmcf-pid="7grnT771vS" dmcf-ptype="general">송 위원장은 "433만명은 개인정보위가 (조사를 통해) 확인이 가능했던 규모"라며 "앱 로그 기록들이 몇 개월 분 삭제돼 있어 사실은 다 확인이 어려웠다"고 강조했다. 이어 "접속한 횟수와 공격자 이메일 등 종합적으로 고려했을 때 (피해자가) 더 있을 개연성도 높다"고 말했다.</p> <p contents-hash="12e9b1e1c79291c0e8cf0aa4a4821894442ae43e27c6620fbe867b4d284b28d5" dmcf-pid="zamLyzztTl" dmcf-ptype="general">이처럼 쿠팡이 자료 보전 명령에 응하지 않은 부분에 대해서는 수사기관 고발을 병행하겠다는 입장도 밝혔다. 송 위원장은 "조사 착수 즉시 사고 관련 접속 기록 등 각종 증거 자료 보전을 명령했지만 쿠팡은 약 5개월 분량의 앱 접속 로그를 수동 삭제하고 6개월이 경과한 애플리케이션 로그를 자동 삭제하는 자사 정책을 중단하지 않았다"며 "(유출) 사안에 대해 고발이 진행될 것"이라고 예고했다.</p> <p contents-hash="db5939619c74fff544887c7ffe7af98586fade7454c621a0b7be4e9c73691591" dmcf-pid="qNsoWqqFlh" dmcf-ptype="general">개인정보 유출 피해와 미흡한 보안 조치에 대한 처벌뿐만 아니라, 조사 과정에서 '얼마나 협조적이었느냐'가 관건이었다는 취지다. 개인정보위는 과징금 총 6246억원 가운데 개인정보 유출에 4235억원, 온라인 활동기록 무단 수집에 2011억원을 부과했다. 고발이 진행되는 사안은 개인정보 유출이다. 송 위원장은 "실제 조사를 어렵게 한 행위가 있었고 법에 따라 요건이 충족되면 당연히 고발을 하기로 되어 있다"고 설명했다.</p> <p contents-hash="5ca5cc371da71e9be84e1b99878cc84e75a65f17141daa5e47620900a11af836" dmcf-pid="BjOgYBB3SC" dmcf-ptype="general">이 같은 조치는 추후 쿠팡과 같은 사고가 재발할 경우, 단순한 개인정보 유출 여부를 넘어 사고 이후 사업자 대응과 조사 협조 수준까지 엄격하게 들여다보겠다는 메시지로 해석된다.</p> <div contents-hash="20217eab61a33a41abe45b06bda792cbd6cde15c713a887899e289873006a9d3" dmcf-pid="bAIaGbb0WI" dmcf-ptype="general"> 이번 제재안 발표가 늦어진 것이 미국과의 외교 문제 때문이 아니냐는 시각도 제기되고 있다. 송 위원장은 "쿠팡이 개인정보보호법에 위반한 사실, 증거, 조사 결과에 집중해서 이번에 결론을 내렸다"며 "(쿠팡이) 국내 회사냐, 해외 회사냐(하는 논쟁과) 이를 둘러싼 다른 영향들에 대해서는 고려하지 않았다"고 선을 그었다. </div> <figure class="figure_frm origin_fig" contents-hash="3e968ccc88080779fe0b1170213208eaddfa885131420d0b2acfffed1c898e15" dmcf-pid="KcCNHKKpvO" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/552796-pzfp7fF/20260611151732063hrmr.jpg" data-org-width="640" dmcf-mid="1JFSbiiPlX" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/552796-pzfp7fF/20260611151732063hrmr.jpg" width="658"></p> </figure> <p contents-hash="eaa946bdb235203e6952739e5b5634a1fb5195344d644fb115abd397e2b0bb6d" dmcf-pid="9khjX99UCs" dmcf-ptype="general"><strong>◆ '기본 안전조치' 중요성 재확인…쿠팡표 보안은 "실패" 결론</strong></p> <p contents-hash="d86c2c2dfcb1ab2ec4c9e4471dfeadc16e9bf06697ac48f830b2b022f91d6eaf" dmcf-pid="2ElAZ22uTm" dmcf-ptype="general">쿠팡은 이날 개인정보위 제재안이 "아쉽다"는 취지의 입장문을 냈다. 쿠팡은 "작년 데이터 유출 사태와 관련해 2차 피해를 방지하기 위한 선제적 조치와 사실관계에 근거한 설명이 충분히 반영되지 못한 점 유감스럽다"고 주장했다. 제휴 마케팅 프로그램 '쿠팡 파트너스'를 통해 이용자 온라인 활동 기록을 무단 수집했다는 지적에도 "글로벌 기업들과 동일한 제휴 모델을 사용하고 있고 적법하다"고 반박했다.</p> <p contents-hash="851962d09cf292acb5d3992adfddbb57b5370060c868b9d6fe92e8d7a1608965" dmcf-pid="VDSc5VV7Sr" dmcf-ptype="general">개인정보위는 쿠팡 측 의견에 강경한 입장을 재확인했다. 양청삼 개인정보위 사무처장은 "쿠팡은 인증토큰 기반의 권한관리시스템을 쓰면서도 그에 합당하게 필요한 필수적인 키 관리, 매니지먼트를 하는 데 실패했다"며 "일반 상품과 개인정보 페이지에 대한 비정상 트래픽 임계치를 동등하게 설정하는 등 침입 탐지에도 실패했다고 판단했다"고 부연했다.</p> <p contents-hash="ea98a152181a41053d3b9ba3af1604e29b182d7bc5e93f948c05f5f6ce21a43b" dmcf-pid="fwvk1ffzWw" dmcf-ptype="general">기본적인 안전조치가 미흡했기 때문에 개인정보 유출과 무단 수집 사태가 발생했다는 취지다. 송 위원장도 제재안 의결에 어떤 요소를 중대하게 고려했냐는 질문에 "결국 안전조치 의무를 다 지키지 않아서 이런 사고가 일어난 것"이라고 답했다.</p> <p contents-hash="864edba0d5b4bc813c89f366814528dd044d8cb97c01e8cbee4d480a3a35eec7" dmcf-pid="4xg6rZZvSD" dmcf-ptype="general">지난해 KT에서 발생한 유출 사고에 대한 심의도 곧 이뤄질 전망이다. 송 위원장은 "KT 처분에 대해서는 사전통지가 돼 있고 의견 제출을 받아서 현재 검토 중"이라며 "멀지 않은 시기에 처분을 내리겠다"고 말했다.</p> <p contents-hash="74c85f3792beceaad327da885472bd1e58d81c9709d0340355a7fb69bada7302" dmcf-pid="8MaPm55TTE" dmcf-ptype="general">한편 개인정보 유출 사고가 거세지면서 기관과 기업들 사이에서도 위기감이 고조되고 있다. 개인정보위는 사전 예방 체계를 갖추지 않은 기업에 대한 처벌 수위를 높이고, 동시에 조치를 강화한 기업에 인센티브를 주는 방안을 모색하고 있다. 반복적이거나 중대한 개인정보보호법 위반 행위에 대해 매출액 최대 10%를 과징금으로 부과하는 개정법도 9월 시행된다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 KIA 김도영·성영탁·박재현, 9월 아시안게임 간다… 야구대표팀 24명 최종명단 발표 06-11 다음 [단독]CJ 전 임직원 개인정보 털렸다…티빙 사태, CJ 원 이용자로 확대 06-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
