전직 직원 한 명의 서명키 탈취로 3,756만 명의 개인정보가 새어나갔다. 국내 최대 전자상거래 플랫폼 쿠팡이 역대 최대 규모인 6,246억 원대 과징금을 부과받으며 개인정보 관리 실태가 낱낱이 공개됐다.
개인정보보호위원회(개인정보위)는 2026년 6월 11일 전체회의에서 쿠팡에 총 6,246억 원의 과징금과 1,680만 원의 과태료를 부과하기로 의결했다. 이는 기존 최대 기록인 SK텔레콤 사건의 1,348억 원을 4배 이상 상회하는 수치다.
퇴사자 서명키 방치… ‘초보적 실수’가 부른 대형 참사
개인정보위는 이번 유출의 근본 원인으로 ‘고도의 해킹 공격’이 아닌 ‘기본적인 안전조치 소홀’을 명시했다. 쿠팡이 운영한 토큰 기반 인증체계는 전자서명 검증만으로 사용자를 인증하는 방식으로, 서명키 관리 실패가 전체 회원 계정의 무단 접근으로 직결되는 구조였다.
전직 직원은 재직 시 담당하던 인증 시스템 서명키를 탈취한 뒤 퇴사 후에도 이를 활용해 정상 로그인 절차 없이 시스템에 접근, 자동화된 크롤링으로 대규모 정보를 수집했다. 쿠팡은 업무상 불필요한 경우에도 서명키를 평문으로 열람할 수 있도록 시스템을 운영했고, 퇴사자의 서명키를 즉각 갱신·폐기하지 않았다.
더욱이 해커의 공격 기간 동안 과도한 트래픽과 비정상적 접속이 지속됐음에도, 쿠팡은 협박 메일을 받기 전까지 침해 사실을 전혀 인지하지 못했다. 개인정보위는 조사 과정에서 약 5개월 분량의 웹 접속 로그가 수동 삭제된 사실도 확인하고, 이를 조사 방해 행위로 판단했다.
과징금 6,246억의 구조… 유출·광고 두 개의 칼날
이번 과징금은 두 가지 위반 행위로 나뉜다. 개인정보 유출 사고에 대한 과징금이 약 4,237억 원, 약 1,100만 명 이용자의 타사 온라인 활동기록 무단 수집에 대한 과징금이 2,000억 원대다.
개인정보위는 쿠팡이 기기 식별자와 회원번호를 결합해 타사 웹·앱 활동기록을 광고 데이터베이스(DB)에 저장한 행위를 ‘개인 식별이 가능한 개인정보 수집’으로 규정했다. 이 정보가 장기 누적될 경우 사상·신념·건강 등 민감정보의 추론 가능성까지 존재한다는 것이 개인정보위의 판단이다.
자회사 쿠팡풀필먼트서비스(CFS)의 위반 행위도 드러났다. CFS는 비위 임직원 재취업 제한 목적의 ‘취업제한 목록’에 경찰청 출입기자 71명을 ‘허위사실 유포’ 명목으로 무단 등록하고, 당사자들에게 동의나 고지를 전혀 하지 않은 것으로 확인됐다.
개정법 시행 땐 ‘최대 4조 5,500억’… 플랫폼 업계 긴장
이번 과징금은 쿠팡의 전년 매출액 45조 4,555억 원의 약 1.4% 수준으로, 현행 개인정보보호법상 상한인 3% 이내에서 산정됐다. 그러나 올해 9월 시행 예정인 개정법·시행령은 1,000만 명 이상 피해, 72시간 내 신고 불이행 등 ‘중대한 침해’에 해당할 경우 전체 매출의 최대 10%까지 과징금을 부과할 수 있도록 상한을 대폭 올렸다.
개정법 기준을 단순 대입하면, 이번 사건의 최대 과징금은 약 4조 5,500억 원까지 산출 가능하다. 개인정보·보안 전문가들은 “보안은 이제 비용이 아니라 생존 문제”라며 퇴사자 권한 회수, 서명키 로테이션, 이상 접속 모니터링 등 기초 통제 체계의 전면 재점검이 업계 전반으로 확산될 것으로 분석한다.
쿠팡은 이날 “고객과 국민께 심려를 끼쳐드린 점에 대해 사과드린다”면서도 “법적 절차를 통해 사실관계가 명확하게 규명되기를 기대한다”며 행정소송 등 법적 대응 가능성을 시사했다. 개인정보위는 쿠팡 사건을 계기로 대형 플랫폼·금융기관·공공기관 등 고위험군을 대상으로 한 위험 기반 상시 점검 체계를 하반기부터 본격 가동할 방침이다.
