[비즈니스포스트] 개인정보보호위원회가 쿠팡에 개인정보 유출 및 침해를 이유로 과징금 6246억8100만 원을 부과했다.

개인정보보호위원회는 11일 정부서울청사에서 브리핑을 열고 쿠팡의 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만 원과 과태료 1680만 원을 부과하고, 시정명령과 공표명령, 고발, 개선권고를 의결했다고 밝혔다.

이와 함께 쿠팡 계열사인 쿠팡풀필먼트서비스(CFS)에 대해서도 개인정보 수집·이용 및 민감정보 처리 제한 위반을 확인해 과징금 2억4800만 원을 부과했다고 설명했다.

개인정보위는 쿠팡의 개인정보 유출 사고와 관련해 인증서명키 관리와 접근통제 소홀 등 기본적인 안전관리 체계가 미흡해 약 3750만 명의 개인정보가 유출됐다고 결론 내렸다.

이 과정에서 유출 통지 의무와 개인정보 파기 의무를 위반했으며, 최고개인정보보호책임자(CPO)의 독립성 보장 의무 위반과 조사 방해 행위도 추가로 확인했다고 밝혔다.

개인정보위는 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체에 대한 유출 통지 실시, CPO의 실질적 역할 보장 등을 시정명령했다. 

또한 탈퇴회원 개인정보 처리 체계와 관련한 개선을 권고하고, 3개월 이내에 이행 및 조치 결과를 확인할 계획이다.

개인정보위는 쿠팡이 다른 회사의 웹사이트와 앱에 접속한 회원 약 1117만 명의 온라인 활동기록을 무단 수집해 이용자를 식별할 수 있는 형태로 데이터베이스에 저장한 사실도 확인했다.

수집된 활동기록에는 쿠팡 광고가 게재된 외부 웹사이트 및 앱의 방문기록(URL·앱 이름), 접속 일시, 접속 IP 주소 등이 포함됐다.

또한 쿠팡이 부정광고(납치광고)를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 의사와 무관하게 쿠팡 서비스 이용기록이 수집되도록 한 사실도 확인됐다고 밝혔다.

이에 개인정보위는 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등을 내용으로 하는 시정명령을 내렸다.

개인정보위는 대규모의 개인정보 유출을 초래한 행위에 대해 과징금 4235억7500만 원을 부과하고, 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1680만 원을 부과하기로 결정했다.

이용자의 동의와 같은 법적 근거 없이 무단으로 타사 온라인 활동기록을 수집하여 보호법 제15조(개인정보의 수집·이용)제1항을 위반한 행위에 대해서는 과징금 2011억600만 원을 부과하기로 결정했다.

개인정보위는 쿠팡풀필먼트서비스가 물류센터 근무 이력이 없는 경찰청 출입기자단 명단 71명의 개인정보를 수집해 취업제한 목록으로 등록·관리한 행위에 대해서는 개인정보 수집·이용 위반으로 판단했다.

아울러 임직원 건강관리 목적으로 보유·관리하던 근로자 체중 정보를 산업재해 관련 소송 과정에서 법원에 제출한 행위는 민감정보 처리 제한 규정 위반에 해당한다고 판단했다.

개인정보위는 정보주체의 동의 등 적법근거 없이 개인정보를 무단으로 수집해 취업제한 목록에 등록한 행위에 대해 보호법 제15조(개인정보의 수집·이용)제1항 위반으로 과징금 2억2천만 원을 부과했다.

임직원 건강 관리를 목적으로 제공받은 임직원의 체중정보를 소송 상 방어권 행사를 위해 법원에 제출한 행위에 대해 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단, 보호법 제23조(민감정보의 처리 제한)제1항 위반으로 과징금 2800만 원을 부과했다.

송경희 개인정보보호위원회 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바라며, 개인정보위도 플랫폼 내에서 국민의 개인정보가 안전하게 이용될 수 있는 환경을 마련하기 위해 더욱 노력하겠다”고 말했다.

앞서 2025년 11월 쿠팡의 중국인으로 추정되는 내부 직원에 의해 고객 계정 약 3370만 개가 무단 노출됐다.

2026년 2월 과학기술정보통신부가 주축이 된 민관합동조사단은 이용자 이름과 이메일 주소 3367만여 건이 유출된 사실을 확인했다고 밝혔다. 

또 배송지 목록 페이지를 통해 이름, 전화번호, 배송지 주소, 특수문자로 비식별 처리된 공동현관 비밀번호 등이 포함된 개인정보가 약 1억4800만 차례 조회된 것으로 조사됐다고 설명했다.
개인정보위는 2025년 11월20일 쿠팡의 신고를 접수한 뒤 다음 날인 11월21일 개인정보 유출 사고에 대한 조사에 착수했다.

이후 국회 청문회와 언론보도, 관계 부처 등을 통해 납치광고와 취업제한 목록 운영 등 쿠팡 및 쿠팡풀필먼트서비스(CFS)의 개인정보 침해 소지가 다수 제기되자 2026년 1월7일부터 추가 조사에 나섰다.

개인정보위는 10일 오전 10시 전체회의를 개최해 사업자가 직접 출석해 충분히 의견을 개진할 수 있도록 했으며, 질의응답을 포함한 장시간 논의 끝에 오후 11시 30분경 최종 처분안을 확정했다. 조승리 기자