개인정보보호위원회, 대규모 개인정보가 유출된 쿠팡에 '역대 최고' 과징금을 부과
쿠팡 회원 및 비회원 정보까지 전방위 유출
쿠팡풀필먼트서비스(CFS)…과징금 2억 4,800만 원 부과
개인정보보호위원회는 11일 대규모 개인정보가 유출된 쿠팡에 '역대 최고' 과징금 6,240 억을 부과했다. (사진=뉴스9)
(뉴스9=이호철기자) 개인정보위는 10일 제11회 위원회 전체 회의를 열고 쿠팡의 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등에 대해 과징금 총 6,246억 8,100만 원과 과태료 1,680만 원 부과하기로 결정했다고 11일 밝혔다.
이와 함께 시정명령, 공표 및 공표 명령, 고발, 개선 권고를 의결했다. 이같은 결과는 지난해 11월 쿠팡의 개인정보 유출 사실이 알려진 지 약 7달 만에 나온 결론이다.
개인정보위는 조사 결과 먼저 쿠팡의 개인 정보 유출 사고 관련 쿠팡은 해커의 협박 메일을 받은 고객의 민원을 통해 유출 사실을 인지하였으며 과거 쿠팡에서 대체 인증 기능을 직접 개발했던 전직 직원이 대체 인증 서명키를 획득한 후 위조 인증 토큰을 생성하여 25년 4월부터 11월까지 해운 정보 수정 페이지, 배송지 관리 페이지, 주문 목록 페이지 등에 포함된 개인 정보를 유출한 사실을 확인했다고 밝혔다.
11일 개인정보위가 발표한 헤커가 쿠팡이 제공하는 다수의 서비스 서비스 페이지에 접근해 개인정보를 유춣했다. (사진=개인정보보호위원회)
또한 개인정보위는 해커가 쿠팡이 제공하는 다수의 서비스 서비스 페이지에 접근하여 약 3,32만 명의 회원 개인 정보와 약 433만 명의 회원이 아닌 정보 주체 개인 정보를 유출한 것으로 확인 사실도 공개했다.
특히 회원 수정 페이지에서는 회원 개정 기준으로 약 3,300만 명의 이름과 이메일 주소가 유출되었고, 배송지 관리 페이지에서는 최소 2,230만 명의 회원이 등록한 배송지 정보가 유출되었다고 개인정보위 조사결과 밝혀졌다.
배송지 정보에는 회원 본인 외에도 가족, 친구 등 제 3자의 이름, 전화번호, 주소 등이 다소 포함되어 있었으며, 회원이 아닌 정보 주체는 휴대 전화번호 기준으로 최소 433만 명인 것으로 확인됐다.
그 밖에 주문 목록 페이지에서는 회원 약 5만 8천명의 주문 내역 유출도 밝혀졌다.
이번 위원회 조사 결과 이번 사고는 고도의 해킹 방법이 아닌 쿠팡의 기본적인 안전 관리 체계 미비 및 관리 소홀로 인해 발생하였음도 확인됐다.
쿠팡이 인증하는 인증 토큰 기반의 인증 체계는 전자 서명 검증만으로 인증을 허용하는 방식으로 서명에 사용되는 마스터키인 인증 서명기 관리에 실패하면, 전체 회원 계정에 무단 접근을 허용할 수 있다는 점에서 엄격한 운영 및 관리가 필수적이다.
그러나 쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근 고난 관리에 소홀했다.
아울러 키 접근 및 평문 열람이 가능하였던 해커가 퇴사하였음에도 길을 즉각 갱신 또는 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않았다.
아울러 쿠팡은 외부의 불법적인 접근에 대한 탐지 및 대응 조치에도 소홀했다.
해커의 공격 기간 중 개인 정보가 포함된 페이지에 대한 접속량이 평상시에 대비 급격하게 증가하는 등 과도한 이상 트래픽이 발생했음에도 쿠팡은 개인 정보 유출 관련 고객 민원 접수 전까지 이상 행위를 인지하지 못했다.
또한 개인 정보 포함 페이지에 대한 차단 임계치 설정이 미흡해 탐지된 다수의 이상형 행위에 대해서 별도의 상세 분석을 수행하지 않아 유출 사고를 차단할 수 있는 기회를 놓친 사실도 확인됐다.
현행 개인 정보 보호법에서는 유출 사실을 인지하면 72시간 내 해당 정보 주체에게 유출 사실을 통제하도록 규정하고 있으나 쿠팡은 배송지 관리 페이지에서 추가로 유출이 확인된 약 16만 명의 회원에 대해서 유출 통지를 지원하였고, 배송지 정보에 포함되어 유출된 쿠팡 회원이 아닌 정보 주체에 대한 유출 통지를 이행하지 않아 해당 정보 주체는 유출 사실을 인지하지 못하여 2차 피해예방을 위한 대응 기회를 놓쳤다.
쿠팡은 또 해커에 대한 자체 조사를 진행하고 그 결과를 홈페이지를 통해 공개하는 과정에서 개인 정보 보호 책임자를 의사 결정 과정에서 배제해 개인 정보 보호법에서 보장하는 개인 정보 보호 책임자의 독립적인 직무수행 권한을 실질적으로 무력화했다.
이 외에도 탈퇴 회원이 등록했던 일부 배송지 정보와 계좌번호 번호 등에 대해 보유 기관이 경과하였음에도 파괴하지 않은 사실도 밝혀졌다.
아울러 개인정보위가 조사 착수 즉시 사고 관련 접석 기록 등 각종 증거 자료의 보전을 명령하였으나 쿠팡은 약 5개월 분량의 앱 접속 로그를 수동 삭제하고 6개월이 경과한 어플리케이션 로그를 자동 삭제하는 자사의 정책을 중단하지 않아 피해 범위 확인을 어렵게 한 사실도 확인됐다.
이에 개인정보위는 쿠팡이 국내 최대 온라인 플랫폼 사업자이자 대규모 개인 정보 처리자임에도 인증 서명키를 안전하게 관리하지 않는 등 안전 조치 의무에 소홀하여 대규모의 개인 정보 유출을 초래한 행위에 대해 과징금 4,235억 7,500만 원 개인 정보 유출 통지 및 파기 의무 위반 행위에 대해 과태료 1680만 원을 결정했다.
이에 개인정보위는 유사 사고 재발 방지를 위해 키 관리 통제 등 안전 조치를 강화하고 유출된 배송지에 포함된 회원이 아닌 정보 주체 대상 유출 통지 실시 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령했다.
이호철 기자 josepharies7625@gmail.com jebo@news9.co.kr
Copyright © 뉴스9. All rights reserved.무단 전재 및 재배포,AI학습 이용 금지.
뉴스9, 쿠팡, 과징금, 쿠팡풀필먼트, 개인정보보호위원회, 개인정보보호법, 6246억원
![카카오톡으로 보내기](javascript:kakaolink_send('쿠팡에 "624,600,000,000원"…전례 없는 과징금', 'http://news9.co.kr/bbs/board.php?bo_table=01&wr_id=789','http://www.news9.co.kr/data/editor/2606/5fa8689731ef2df6c84efe44ae0c7918_1781490898_9246.jpg');)
