개보위, 13시간 심의 끝 쿠팡에 최대 과징금 6,250억 원

최승훈 기자

작성 2026.06.11 13:48 수정 2026.06.11 15:28 조회수

▲ 송경희 개인정보위 위원장이 11일 서울 종로구 정부서울청사에서 쿠팡사태 제재안 의결 브리핑을 하고 있다.

개인정보보호위원회가 쿠팡과 물류 자회사 쿠팡풀필먼트서비스(CFS)에 부과한 과징금은 총 6,250억 원에 육박해, 역대 최대 규몹니다.

종전 최고액인 SK텔레콤(SKT) 유심 정보 유출 사고 과징금(1,347억 9,100만 원)의 4.6배 수준입니다.

과징금이 역대 최대 규모로 불어난 것은 대규모 개인정보 유출 사고뿐 아니라 법적 근거 없는 개인정보 수집·이용 행위, 계열사의 개인정보 침해 행위까지 함께 적발됐기 때문입니다.

개인정보위는 ▲ 인증서명키 관리 및 접근통제 소홀 등에 따른 개인정보 유출 ▲ 회원의 타사 웹·앱 온라인 활동기록 무단 수집 ▲ 물류 자회사 쿠팡풀필먼트서비스(CFS)의 개인정보 침해 행위를 함께 심의했습니다.

이에 따라 개인정보 유출 사고에 대해서는 과징금 4,235억 7,500만 원과 과태료 1,680만 원이 부과됐습니다.

타사 웹·앱 이용자의 온라인 활동기록을 법적 근거 없이 수집한 행위에 대해서는 과징금 2,011억 600만 원이 부과됐으며, CFS에는 과징금 2억 4,800만 원이 의결됐습니다.

개인정보 유출에 대한 과징금 규모가 특히 컸던 것은 유출 규모가 SKT를 크게 웃돈 데다 과징금 산정 기준이 된 쿠팡의 사고 직전 3개 사업연도 평균 매출액이 약 36조 원에 달한 점도 영향을 미쳤습니다.

개인정보위의 과징금은 3개년 평균 매출액에 위반 행위와 관련된 매출을 제외한 뒤, 중대성 판단, 가중·감경 등을 거쳐 나옵니다.

쿠팡의 경우 쿠팡플레이, 쿠팡이츠, 기업간 거래(B2B) 관련 매출이 제외됐습니다.

송 위원장은 "과징금은 매출액의 3%가 최대라고 돼 있지만 실제로는 가중·감경 요소를 모두 고려해 산정하도록 설계돼 현실적으로 (최대가) 나오기 어렵다"며 "사안이 얼마나 중대한지, 피해 규모는 어느 정도인지 등을 매우 숙고하고 토론한 끝에 책임에 적정하고 상응하는 처분을 내리기 위해 최선을 다했다"고 말했습니다.

유출 규모를 보면 쿠팡이 약 3,756만 명으로 SKT 유출 규모인 2,324만 명보다 1,400만 명 이상 많습니다.

쿠팡에서는 지난해 4월부터 11월까지 회원 3,322만 명과 회원이 아닌 정보주체 최소 434만 명의 개인정보가 유출됐습니다.

개인정보위는 연간 매출액이 30조 원을 웃도는 대규모 개인정보처리자인 쿠팡이 인증 시스템과 인증서명키 관리를 소홀히 하고 다수의 이상 행위를 탐지하지 못해 대규모 유출 사고로 이어진 점을 위반행위의 중대성 판단에 반영했다고 설명했습니다.

조사 과정에서 드러난 비협조 행위도 제재 수위를 높인 요인으로 꼽혔습니다.

개인정보위에 따르면 쿠팡은 조사 착수 직후 사고 관련 접속기록 등 증거자료 보전 명령을 받았음에도 약 5개월치 웹 접속 로그를 수동 삭제했습니다.

또 6개월이 지나면 로그가 자동 삭제되는 내부 정책을 중단하지 않아 일부 애플리케이션 로그가 삭제되도록 방치했습니다.

이 외에 개인정보위는 쿠팡이 타사 웹·앱에 접속한 회원 약 1,117만 명의 온라인 활동기록을 동의 없이 수집해 이용자를 식별할 수 있는 형태로 데이터베이스(DB)에 저장한 사실도 적발했습니다.

쿠팡이 수집한 정보에는 타사 웹·앱 방문 기록(URL·앱 명칭), 접속 일시, 접속 인터넷프로토콜(IP) 등이 포함됐습니다.

이 밖에도 개인정보위는 CFS가 개인정보 처리 과정에서 보호법상 안전조치 의무 등을 위반한 사실을 확인하고 과징금을 부과했습니다.

CFS는 경찰청 출입기자단 명단을 취업제한 목록으로 관리하고, 근로자 체중정보를 산업재해 소송 과정에서 활용한 것으로 조사됐습니다.

한편, 역대 최대 규모 과징금이 의결되기까지 개인정보위는 13시간이 넘는 '마라톤' 심의를 진행했습니다.

개인정보위에 따르면 전날인 10일 오전 10시 시작된 전체회의는 자정이 가까워져서야 마무리됐습니다.

송 위원장은 "피심인들에게 충분한 의견 진술 기회를 부여하기 위해 회의가 길어졌다"며 "개인정보 유출 사건과 관련한 의견 진술과 질의응답에만 약 5시간이 소요됐고, 온라인 활동 기록 수집 등 개인정보 침해 사건에 대해서도 3시간가량 의견 청취와 질의응답이 진행됐다"고 말했습니다.

송 위원장은 3개 안건을 한 번에 심의하게 된 계기에 대해서는 "전체 회의가 한 달에 두 번씩 열리기 때문에 같이 심의하는 것이 효율적"이라며 "조사가 유사한 시기에 마무리되기도 했다"고 설명했습니다.

(사진=연합뉴스)