쿠팡, 역대 최대 과징금 6,246억 원 폭탄 - 도대체 무슨 일이 있었던 걸까?

 

 

지난 6월 10일, 개인정보보호위원회(개보위)가 깜짝 놀랄 만한 결정을 내렸습니다.

 

쿠팡에 과징금 6,246억 8,100만 원과 과태료 1,680만 원을 부과하기로 의결했거든요!

 

국내 개인정보 유출 역사상 단연 최대 규모입니다.

기존 최대 과징금이었던 SKT 유심 정보 유출 사태(1,348억 원)의 무려 4.6배 수준이에요.

 

도대체 쿠팡에서 무슨 일이 있었던 걸까요?

 

 

사건의 시작 - 전직 직원이 3,755만 명의 정보를 털었다

 

작년(2025년) 11월 18일, 쿠팡은 고객 4,500여 명의 개인정보가 비인가 조회된 사실을 탐지하고 정부에 신고했습니다.

 

그런데 조사를 해보니... 피해 규모가 상상을 초월했습니다.

 

- 회원 3,322만 2,472명의 이름·주소·연락처·주문정보 등

- 비회원 (가족·친구 등 배송지 포함자) 433만 8,368명

- 합계 : 약 3,755만 명

 

범인은 외부 해커가 아니라, 놀랍게도 전직 쿠팡 직원이었습니다.

재직 중 취득한 내부 인증 서명키(보안 키)를 탈취한 뒤, 퇴사 후에도 해외에서 쿠팡 서버에 계속 접근한 거죠.

 

더 충격적인 건 이 부정 접근이 퇴사 6개월 전부터 이미 시작됐는데, 쿠팡이 그 사실을 전혀 몰랐다는 겁니다.

기본적인 접근 통제와 계정 관리조차 제대로 안 되고 있었던 거예요.

 

 

과징금 6,246억 원 - 두 가지 위반이 합쳐진 결과

 

이번 과징금은 사실 두 가지 위반 행위로 나뉩니다.

 

1) 안전조치 의무 위반 → 4,235억 7,500만 원

 

위에서 말씀드린 해킹 사건이 바로 이 부분입니다.

인증 서명키 관리 소홀, 퇴사자 계정 접근 통제 미흡...

기본 중의 기본을 지키지 않았다는 거죠.

 

2) 법적 근거 없는 개인정보 무단 수집 → 2,011억 600만 원

 

이건 이번 조사에서 새롭게 드러난 사실인데요.

쿠팡이 쿠팡파트너스(제휴 마케팅 프로그램)를 통해 회원 약 1,117만 명이 타사 사이트나 앱을 이용한 온라인 활동 기록을 동의 없이 몰래 수집해 DB에 저장해 온 거예요.

 

단순 유출 사고도 아니고, 아예 조직적으로 남의 개인정보를 무단으로 모아온 셈입니다.

이게 사태를 더욱 심각하게 만든 부분이에요.

 

그 외에도 자회사 쿠팡풀필먼트서비스(CFS)가 기자단 명단을 블랙리스트로 관리한 사실까지 추가로 적발됐습니다.

 

 

쿠팡 "억울하다" - 초강수 로펌 선임하고 소송 예고

 

쿠팡은 과징금 결정 직후 입장문을 내고 "사실관계에 근거한 설명이 충분히 반영되지 않아 유감스럽다"며 행정소송을 통해 불복하겠다고 예고했습니다.

 

법적 대응 준비도 발 빠르게 시작됐어요.

초대 개보위원장이 소속된 법무법인 세종, 개보위 고위직 출신이 있는 김앤장까지 소송대리인으로 선임했다고 합니다.

 

이른바 '전관예우' 문제가 다시 수면 위로 떠오른 거죠.

 

이에 대해 개보위원장은 "법과 원칙에 근거한 타당한 처분"이라며 강경 대응을 시사했습니다.

 

쿠팡은 의결서를 수령한 날로부터 90일 이내에 공식 입장을 밝히거나 행정소송을 제기해야 하는데, 의결서 송달 자체에 1~3개월이 걸리는 만큼 긴 법정 공방이 예상됩니다.

 

 

한미 통상 문제로 번질 수도?

 

사실 이 사건, 단순한 국내 행정 제재로 끝나지 않을 수 있습니다.

쿠팡은 NYSE 상장 미국 기업이거든요.

 

외신들도 이 사건을 긴급 타전하며 "한국 정부의 법 집행과 미국의 자국 기업 보호주의가 정면 충돌하는 한미 통상 관계의 중대한 시험대"가 될 수 있다고 보도했습니다.

 

미국 투자자·의회의 반발 가능성도 언급됐는데, 앞으로의 전개가 어떻게 될지 주목됩니다.

 

 

피해자들은 어떻게 되나?

 

개인정보분쟁조정위원회는 6월 12일, 쿠팡을 상대로 한 집단분쟁조정 신청 사건을 단일 사건으로 병합해 조정 절차를 재개했습니다.

 

다만 쿠팡이 행정소송을 예고한 만큼, 실제 피해 보상은 상당한 시간이 걸릴 것으로 보입니다.

소송이 장기화될수록 3,755만 명의 피해자 구제도 그만큼 늦어지는 거니까요.

 

 

이번 사태가 남기는 교훈

 

이번 쿠팡 사태는 몇 가지 중요한 점을 다시 한번 일깨워 줍니다.

 

- 퇴사자 계정 관리는 기본 중의 기본

- 타사 온라인 활동 무단 수집도 엄연한 개인정보 침해

- 보안 투자 소홀이 결국 수천억 원의 과징금으로 돌아온다

 

6,246억 원이라는 숫자가 단순한 벌금이 아니라, 국내 개인정보 보호 법 집행의 새로운 기준점이 된 셈입니다.

 

앞으로 국내 기업들이 이 사례를 반면교사 삼아 개인정보 보호에 더욱 진지하게 임하게 되길 기대해봅니다.

 

 

 

 

#쿠팡 #개인정보유출 #개인정보보호위원회 #개보위 #과징금 #쿠팡과징금 #개인정보침해 #쿠팡파트너스 #정보유출 #사이버보안 #보안사고 #집단분쟁조정 #한미통상 #행정소송 #역대최대과징금