쿠팡, 6200억 역대 최대 과징금…1100만명 온라인 활동기록까지 무단수집 작성일 06-11 31 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">3755만명 개인정보 유출<br>"유감, 법적 절차로 규명"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="HOINkWWISP"> <p contents-hash="5f3db15e400ab9d29cce2715d5a29e7561d4ec40eb15888b1de047c911d8fc06" dmcf-pid="XICjEYYCh6" dmcf-ptype="general">쿠팡이 대규모 개인정보 유출과 온라인 활동기록 무단 수집 등으로 국내 개인정보 제재 사상 최대인 6200억원대의 과징금을 부과받았다. 이는 지난해 쿠팡 매출의 1.4% 수준이다.</p> <p contents-hash="4983e4498710e1deb85aae4f7f6f4145bdc5567e02644bd53f024b2ed8c6c987" dmcf-pid="ZChADGGhy8" dmcf-ptype="general">개인정보보호위원회는 지난 10일 전체회의에서 쿠팡의 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원과 과태료 1680만원 부과를 의결했다고 11일 밝혔다.</p> <p contents-hash="6a7345ffd8cf8ea1ec5331101197771a3ec01e9fe671a02b9d0ba0c2a8995149" dmcf-pid="5hlcwHHlT4" dmcf-ptype="general">이번 과징금은 종전 최대였던 지난해 SK텔레콤 유심(USIM) 정보 유출 과징금 1347억9100만원의 4.6배다. 시정명령과 공표명령, 고발, 개선권고도 함께 내려졌다. 계열사 쿠팡풀필먼트서비스(CFS)에는 별도로 과징금 2억4800만원이 부과됐다.</p> <p contents-hash="4cd906884c99b9312300d22112fea5efa3747fec87e6fed22b201e6a96145b1a" dmcf-pid="1923uxx2lf" dmcf-ptype="general">과징금은 두 갈래다. 인증 서명키 관리 소홀 등으로 약 3755만명의 개인정보 유출을 부른 안전조치 의무 위반에 4235억7500만원, 이용자 1117만명의 타사 온라인 활동기록을 동의 없이 수집한 행위에 2011억600만원이 각각 매겨졌다.</p> <p contents-hash="4ef5ea5d1b61b2068dc6113a8fdafd1643dc3256fdde65ef3b3cd6f0a9580652" dmcf-pid="t2V07MMVvV" dmcf-ptype="general">개인정보위 조사 결과 유출 사고는 고도의 해킹에 따른 것이 아니라 쿠팡에서 대체 인증을 개발했던 전직 직원이 퇴사 후 서명키를 악용하며 발생했다. 쿠팡은 업무상 불필요한 경우에도 서명키를 평문으로 볼 수 있게 운영했고, 해당 직원이 퇴사한 뒤에도 키를 갱신·폐기하지 않았다.</p> <p contents-hash="b7b6e3c49295ae9b719659c05743d56215af2090a1396517f6d6400169aa3856" dmcf-pid="FVfpzRRfy2" dmcf-ptype="general">공격 기간 중 가짜 인증토큰 4400만여개를 이용한 비정상 접속이 쏟아졌지만, 쿠팡은 해커의 협박 메일을 받은 고객 민원이 접수될 때까지 6개월 넘게 이를 인지하지 못했다.</p> <p contents-hash="55cffc1c35ab2665f6a1abb7a54bb5d91ec1b7d1bde829cad1cde30cfba24fa1" dmcf-pid="3f4Uqee4S9" dmcf-ptype="general">유출 규모는 회원 3322만여명(계정 기준)과 배송지에 포함된 비회원 최소 433만여명(휴대전화번호 기준)으로 확인됐다. 마스킹되지 않은 공동현관 비밀번호 4226건도 포함됐다.</p> <p contents-hash="87c24956504e31ca05839b6af35c04088d9267b1efeb3abb4125ab126c030517" dmcf-pid="048uBdd8TK" dmcf-ptype="general">개인정보위는 일부 접속 기록이 삭제돼 확인하지 못한 부분을 고려하면 실제 유출 규모는 더 클 수 있다고 봤다. 전직 직원인 공격자는 협박 메일에서 한국 회원의 주소 1억2000만개, 주문정보 5억6000만개, 이메일 주소 3300만개 이상을 보유하고 있다고 주장했다. 협박 메일에는 이용자의 성인용품·속옷 구매내역 등 민감 정보가 다수 포함됐던 것으로 조사 결과 드러났다.</p> <p contents-hash="7772c396117148e0d4466c6ce1f11a5b448429ec27f82189fb928772d0fa87e5" dmcf-pid="p867bJJ6Cb" dmcf-ptype="general">유출과 별개로 쿠팡은 제휴 마케팅 프로그램 '쿠팡 파트너스'를 통해 자사 광고가 걸린 타사 웹·앱에 접속한 이용자 약 1117만명의 방문기록과 접속 일시, 인터넷프로토콜(IP) 등을 무단으로 수집했다. 이용자가 광고를 클릭하지 않아도 정보가 전송됐고, 쿠팡은 회원번호와 결합한 상태로 이를 데이터베이스에 저장했다.</p> <p contents-hash="3bb956bc90a8a63aa436d4548a47d5e568cdc363e6e4ef1828cd05a64f25259d" dmcf-pid="U6PzKiiPWB" dmcf-ptype="general">개인정보위가 증거자료 보전을 명령했지만, 쿠팡이 5개월치 접속 로그를 삭제해 전체 접속 기록의 13%가 사라진 사실도 드러났다. 개인정보위는 이를 조사 방해로 판단하고 당국에 고발하기로 했다.</p> <p contents-hash="7ea45cbc00269ee43bc96f8785107d1400598064759dda95e44455090b3b6913" dmcf-pid="uPQq9nnQTq" dmcf-ptype="general">이날 쿠팡은 입장문을 내고 유출 사고에 대해 사과하면서도 "선제적 조치와 명확한 사실관계에 근거한 설명이 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다"며 "공식 의결서를 수령한 후 법적 절차를 통해 사실관계가 규명되길 기대한다"고 밝혔다.</p> <p contents-hash="dc23a646fdefacf48563b5112ec27664d509396eed4db28aefd28d5d63a19ab9" dmcf-pid="7QxB2LLxlz" dmcf-ptype="general">송경희 개인정보위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"며 "소송이 제기된다면 적극 대응하겠다"고 말했다.</p> <p contents-hash="7c5c9a76b6809d803500c55ab508db797f30b1c0ab6ea8f50469a820db4e033b" dmcf-pid="zxMbVooMW7" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> <figure class="figure_frm origin_fig" contents-hash="92b4520193231de769808afc83dcc767ab4abcd582f666776a156aee7c42f76a" dmcf-pid="qMRKfggRWu" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 잠실의 쿠팡 본사. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/dt/20260611192924814oxxn.jpg" data-org-width="640" dmcf-mid="YwfpzRRflx" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/dt/20260611192924814oxxn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 잠실의 쿠팡 본사. 연합뉴스 </figcaption> </figure> <p contents-hash="bd1a5e226c561f28f2ffc2e6549595a981e2d058cb559d645df5549d06c0a402" dmcf-pid="BRe94aaeWU" dmcf-ptype="general"><br> </p> <figure class="figure_frm origin_fig" contents-hash="f6c4ed08ba98da7a5f4c323907e0b1298ce2c9cebcf5f3e40fe55e866d38f338" dmcf-pid="bed28NNdSp" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희(왼쪽) 개인정보원장이 11일 서울 세종대로의 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/11/dt/20260611192926115spff.jpg" data-org-width="640" dmcf-mid="GRxB2LLxlQ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/11/dt/20260611192926115spff.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희(왼쪽) 개인정보원장이 11일 서울 세종대로의 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다. 연합뉴스 </figcaption> </figure> <p contents-hash="648bb96f55a5c824fcf8d63bbebdabd774fb8f8d085adffa32166b34906158c9" dmcf-pid="KdJV6jjJC0" dmcf-ptype="general"><br> </p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 국내 AI 생태계 키운 '네이버 DNA' 산업·공공·금융으로 확산 06-11 다음 '배드민턴 퀸' 안세영, 역대 최초로 누적 상금 45억원 돌파 06-11 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
