11일 개인정보보호위원회(개보위)는 지난해 11월 발생한 쿠팡의 대규모 개인정보 유출과 관련해 쿠팡에 총 6246억8100만원의 과징금과 1680만원의 과태료, 시정명령과 공표명령, 고발, 개선권고 조치를 내렸다고 밝혔다. 쿠팡풀필먼트서비스(CFS)에는 별도로 2억4800만원의 과징금을 부과했다.
개보위는 쿠팡의 개인정보 유출 사건과 관련해 인증 서명키 관리와 접근통제 등 기본적인 안전조치가 미흡했다고 판단했다. 이로 인해 약 3750만명의 개인정보가 유출된 것으로 결론냈다. 이 과정에서 유출 통지 의무와 개인정보 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 미보장, 조사 방해 행위도 추가로 확인됐다.
이에 따라 개보위는 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 대한 유출 통지 실시, CPO의 실질적 역할 보장 등을 포함한 시정명령을 내렸다. 또 탈퇴 회원 개인정보 처리 체계에 대한 개선을 권고했다. 쿠팡은 3개월 안에 이행 결과를 제출해야 한다.
이용자 권리 침해와 관련한 위반 사항도 확인됐다. 쿠팡은 자사 광고가 게재된 타사 웹사이트와 애플리케이션 접속 기록을 약 1117만명 이용자에 대해 무단 수집한 뒤, 개인 식별이 가능한 형태로 데이터베이스에 저장한 것으로 조사됐다. 해당 정보에는 방문 URL, 앱 이름, 접속 일시, IP 주소 등이 포함됐다.
또 이른바 '납치광고'를 게시하는 광고 파트너에 대한 관리·감독이 미흡해 이용자 의사와 무관하게 서비스 이용기록이 수집되도록 한 사실도 확인됐다. 개인정보위는 이에 대해 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체 선택권 보장, 광고 파트너 관리 강화 등을 요구하는 시정명령을 내렸다.
계열사인 CFS의 위반 행위도 제재 대상에 포함됐다. CFS는 물류센터 근무 이력이 없는 경찰청 출입기자단 명단 71명을 수집해 취업 제한 목록으로 관리한 사실이 드러나 개인정보 수집·이용 위반으로 판단됐다. 임직원 건강 관리 목적으로 보유하던 근로자의 체중 정보를 산업재해 소송 과정에서 법원에 제출한 행위는 민감정보 처리 제한 위반으로 인정됐다.
이번 제재는 쿠팡에 대해 개인정보 유출 사고 대응뿐 아니라 광고·마케팅 과정의 정보 수집, 내부 인사·노무 관련 정보 처리까지 전반적인 개인정보 관리 책임을 물은 조치로 해석된다. 개보위는 "대규모 개인정보 처리 기업의 관리 책임을 강화하고 정보주체 권리 보호를 제고하기 위한 조치"라고 설명했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>