쿠팡은 이번 처분에 대해 추가 피해 방지를 위한 조치와 사실관계 소명이 충분히 반영되지 않았다며 법적 절차를 통해 사실 관계를 규명하겠다는 입장이다.
개인정보위는 11일 개인정보 안전조치 의무 위반행위 제재안 심의 결과 쿠팡에 총 6246억9840만 원에 달하는 제재금을 부과한다고 밝혔다. 세부 내역은 개인정보 유출 행위에 대한 과징금 6246억8160만 원과 법적 근거 없는 개인정보 수집 이용에 대한 과징금 2011억660만 원, 개인정보 유출 통지 및 파기 의무 위반에 대한 과태료 1680만 원이다.
개인정보위가 부과한 역대 최대 과징금은 지난해 10월 SK텔레콤 측에 부과한 1347억9100만원이다. 이번 쿠팡 개인정보 유출 사고에 대한 제재금은 SK텔레콤 유심 정보 유출 사고보다 약 4.6배 많다.
위원회는 대규모 개인정보 유출이 고도의 해킹 방법이 아닌 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀로 발생한 것으로 판단해 역대 최대 규모 제재금을 부과했다고 설명했다.
개인정보위에 따르면 해당 사고로 쿠팡 회원 약 3222만 명의 개인정보가 유출됐다. 회원이 아닌 정보 주체 약 433만 명의 개인정보도 함께다.
회원 계정 기준으로 약 3300만 명의 이름과 이메일 주소 등이 유출됐다. 배송지 관리 페이지에서는 최소 회원 2230만 명이 등록한 배송지 정보가 유출됐다. 이때 유출된 정보에는 회원 본인 외 가족이나 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함된 것으로 알려졌다.
회원이 아닌 정보 주체에 대한 개인정보는 휴대전화번호 기준으로 최소 433만 명으로 확인됐으며 주문목록 페이지에서만 5800명 분의 주문내역이 유출됐다.
개인정보위는 쿠팡이 전체 회원 정보에 접근 가능한 마스터키 인증 서명키 관리에 소홀했다고 지적했다.
조사 과정에서 ▲개인정보 유출 통지 및 파기 의무 위반 ▲개인정보보호책임자(CPO) 독립성 보장 위반 및 조사 방해 등 정황도 추가 확인됐다.
개인정보위는 쿠팡이 해커에 대한 자체 조사를 진행하고 홈페이지에 결과를 통지하는 과정에서 개인정보보호책임자를 의사 결정 과정에서 배제한 사실을 밝히며 이는 개인정보보호법에서 보장하는 책임자의 독립적인 직무 수행 권한을 실질적으로 무력화한 것으로 판단했다.
이외에도 탈퇴 회원이 등록했던 일부 배송지 정보와 계좌번호 등에 대한 보유 기간이 경과했음에도 불구하고 파기하지 않은 사실을 확인했다.
개인정보위가 각종 증거 자료의 보존을 명령했으나 쿠팡은 약 5개월 분량 앱 접속 로그를 수동 삭제하고 6개월이 경과한 어플리케이션 로그를 자동 삭제하는 자사 정책을 중단하지 않아 피해 범위 사실 확인을 어렵게 했다고 전했다.
따라서 개인정보위는 쿠팡에 ▷유사 사고 재발을 방지하기 위한 안전조치 강화 ▷회원이 아닌 정보주체에 유출 통지 ▷개인정보보호책임자 독립성 보장 등의 시정명령을 내리고 ▷탈퇴회원 개인정보 처리 체계 개선을 권고했다. 이후 개인정보위는 3개월 내 이행 및 조치 결과를 확인할 방침이다.
개인정보위는 이와 함께 쿠팡의 물류센터 운영 계열사인 쿠팡풀필먼트서비스(CFS)가 물류센터에서 일한 사실이 없는 경찰청 출입기자단 71명의 인적사항을 확보해 채용 제한 대상자 명부에 올려 관리한 행위도 법 위반으로 봤다.
쿠팡풀필먼트서비스가 '임직원 건강관리' 명목으로 보관·관리해 온 근로자의 체중 자료를 산업재해 관련 소송에서 법원에 제출한 데 대해서도 민감정보 처리 위반에 해당한다고 판단하고, 과징금 2억4800만 원을 별도 부과했다.
이와 관련해 쿠팡은 "고객과 국민께 사과드린다"며 "개인정보 보호 프레임워크를 더욱 강화하며 신뢰 회복을 위해 노력하겠다"라는 입장을 밝혔다.
이어 "작년 유출 사고와 관련한 2차 피해를 방지하기 위한 선제적 조치 및 명확한 사실관계 설명이 개인정보위 결정에 충분히 반영되지 못한 점을 유감스럽게 생각한다"면서 "공식 의결서 수령 이후 법적 절차를 통해 명확한 사실관계가 규명되길 기대한다"고 말했다.
[소비자가만드는신문=이예원 기자]
