전례 없는 정보유출에 조사 방해까지… 보안 경시 행태 ‘철퇴’

개인정보보호위원회가 쿠팡 한국 법인에 지난해 SK텔레콤을 넘어선 역대 최대의 과징금을 부과한 것은 3756만여명이란 전례 없는 대규모 개인정보 유출 피해 규모, 거의 모든 경제활동인구가 이용하는 온라인 플랫폼인 점 등을 감안한 것으로 보인다. 쿠팡이 회원들의 다른 웹사이트와 애플리케이션(앱) 방문 기록을 몰래 들여다보고 저장한 것도 ‘사생활 침해’로 규정돼 과징금이 부과됐다.

◆“보안관리 미흡 탓 개인정보 유출”

11일 개인정보위에 따르면 개인정보위는 전날 전체 회의에서 “쿠팡이 기본적인 내부 보안 관리에 미흡해 (중국인으로 추정되는) 전 직원의 개인정보 처리 시스템 침입을 탐지하는 데 실패했다”고 결론 내렸다. 쿠팡이 운영하는 토큰 기반의 인증 체계는 유출에 취약하다. 전자 서명 검증만으로 인증을 허용해서다. 이 때문에 서명에 쓰이는 키 관리에 실패하면 전체 회원 계정에 무단 접근을 허용하게 되는 위험성이 있다.

쿠팡은 키 접근 등이 가능했던 전 직원이 2024년 말 퇴사한 뒤 인증 서명 키를 즉각 갱신 또는 폐기하지 않은 것으로 조사됐다. 해당 해커의 공격 기간인 지난해 4∼11월 개인정보가 포함된 회원 정보 수정 및 배송지 관리 페이지 접속량이 급증하는 등 과도한 이상 트래픽이 발생했는데도, 쿠팡은 지난해 11월 해커의 협박 메일을 받은 고객 민원을 접수하기 전까지 인지하지 못했다.

쿠팡은 “전직 직원이 재직 중 정당하게 알고 있던 서명 키 정보를 퇴사 후 악용한 것이 개인정보 유출 사고의 근본 원인”이라며 “개인정보 보호법상 요구되는 인증 키 관리나 이상 행위 탐지 및 대응을 충분히 했다”고 주장했으나 받아들여지지 않았다.

국민의 일상생활과 직결되는 배송지 정보, 특히 실제 주소가 광범위하게 유출된 점도 쿠팡의 위반 행위 중대성을 판단하는 데 주효하게 작용했다. 배송지 정보는 이름과 전화번호, 주소, 공동 현관 비밀번호를 망라한다.

개인정보위 조사 결과, ‘배송지 관리 페이지’에서 최소 2237만5359명의 회원이 등록한 배송지 정보 6398만6351건이 유출됐는데, 이 배송지 정보엔 회원 본인 외에도 가족, 친구 등 제삼자, 즉 ‘비회원’ 정보가 대거 포함됐다. 휴대전화 번호 기준으로만 최소 433만8368명으로 파악됐다.

또 ‘회원 정보 수정 페이지’에서 회원 3305만7012명의 이름과 이메일 주소, ‘주문 목록 페이지’에선 회원 5만8349명의 주문일과 상품명, 수량, 가격 등 주문 내역 27만2470건이 유출됐다. 이에 더해 쿠팡은 회원 탈퇴 회원들의 배송지 정보 246만5592건을 파기하지 않아 그중 일부가 유출됐다.

◆“국내외 기업 동일 기준 적용”

쿠팡이 역대 최대 과징금을 부과받은 배경엔 개인정보위 조사를 방해한 탓도 크다. 쿠팡은 2024년 7∼11월 약 5개월 분량의 웹 접속 로그를 지난해 11월 수동 삭제해 최초 유출 시점 등 사실관계 규명을 어렵게 했다. 6개월 경과 시 삭제되는 로그 자동 삭제 정책도 중단하지 않았다.

쿠팡이 회원들의 사생활 정보를 침해한 사실도 불리하게 작용했다. 쿠팡은 2024년 12월∼2026년 2월 1564만5338개의 웹페이지(URL) 또는 앱을 방문해 사용한 회원 1117만613명에 대한 타사 온라인 활동 기록을 무단 수집하고 데이터베이스(DB)에 저장했다. 온라인 활동 기록이란 URL·앱 이름, 접속 일시·IP 등을 말한다.

이에 대해 개인정보위는 “기기 식별자, 회원 번호와 함께 광고 DB에 저장돼 그 자체로도 개인 식별이 가능한 사생활 정보”라며 “사상, 신념, 건강 등 민감 정보의 추론 가능성도 있어 정보 주체의 권리 침해 위험 가능성이 크다”고 봤다.

이에 따라 과징금은 현행법상 쿠팡의 사고 직전 3개 사업 연도 평균 매출액인 약 30조원을 기준으로 3%를 초과하지 않는 범위에서 산정됐다. 여기서 위반 행위와 관련 없는 쿠팡플레이, 쿠팡이츠, 기업 간 거래(B2B) 매출액은 제하고 가중과 감경이 이뤄졌다.

송경희 개인정보위 위원장은 이날 정부서울청사에서 가진 브리핑에서 ‘쿠팡 모회사인 쿠팡Inc가 미국 기업이라 차별하는 것 아니냐’는 논란에 “국내 소비자의 소중한 개인정보를 다루는 기업이라면 국내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용돼야 하고, 다른 영향은 고려하지 않았다”고 일축했다. 전날 오전 10시 시작된 회의는 오후 11시30분이 돼서야 끝나는 등 개인정보위는 장고를 거듭했다. 개인정보위는 다크웹 불법 유통 등 2차 피해와 관련해서도 확인되지 않았을 뿐 유출된 정보들이 회수되지 않아 사이버 범죄에 악용될 가능성이 있는 만큼 “경각심이 필요하다”고 당부했다.

박진영·김세희 기자 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지