쿠팡, 6,246억 과징금 철퇴… 데이터 독식의 그늘 드러낸 ‘보안 붕괴’
마스터키 평문 노출로 최소 3,322만 건 유출… 타사 앱 활동 기록까지 무단 수집해 맞춤형 광고에 활용
FA | 조준상 기자 | 입력 : 2026.06.11
개인정보보호위원회가 대규모 개인정보 유출과 무단 수집 행위를 적발한 쿠팡에 역대 최대 수준의 과징금을 부과했다. 쿠팡이 거대한 데이터 확보를 무기로 성장하는 동안, 기본적인 보안 체계와 정보주체 권리는 뒷전으로 밀려나 있었다는 비판이 제기된다.
개인정보보호위원회는 11일 서울 정부서울청사 본관 브리핑실(311호)에서 제11회 전체회의 결과를 브리핑하고, 쿠팡㈜에 총 6,246억 8,100만 원의 과징금과 1,680만 원의 과태료를 부과한다고 밝혔다. 자회사 쿠팡풀필먼트서비스(Coupang Fulfillment Services)에 대해서도 개인정보 처리 위반으로 2억 4,800만 원의 과징금을 추가로 부과했다. 개인정보 보호 법 집행 사상 최대 규모의 금전 제재다.
송경희 개인정보보호위원장은 “쿠팡㈜는 대규모 고객 정보를 기반으로 혁신적인 이커머스 서비스를 제공하며 비약적으로 성장했지만, 그에 상응하는 수준의 개인정보 보호 및 관리 체계를 갖추지 못한 사실이 이번 조사를 통해 확인됐다”며 “기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 법과 원칙에 따라 책임에 상응하는 처분을 내렸다”고 말했다.
마스터키 방치·이상 트래픽 묵인… 기본 안전조치 소홀로 빚어진 대규모 유출
위원회 조사에 따르면 쿠팡의 개인정보 유출 사고는 고도의 해킹이 아니라 허술한 안전관리 체계에서 비롯됐다. 2025년 4월부터 11월까지 쿠팡의 전직 직원은 재직 시 개발에 관여했던 대체 인증 기능을 악용해 위조 인증 토큰을 생성하고, 회원정보 수정 페이지·배송지관리 페이지·주문목록 페이지에 무단으로 접근했다.
사고의 핵심 고리는 인증 토큰 생성에 사용되는 ‘인증서명키’ 관리 부실이다. 쿠팡은 업무상 열람이 필요 없는 상황에서도 이 마스터키를 평문으로 볼 수 있는 키 관리 시스템을 운영했고, 해당 키에 접근할 수 있었던 직원이 퇴사한 뒤에도 키를 즉시 갱신하거나 폐기하지 않았다. 인증서명키가 유출될 경우 전체 회원 계정에 무단 접근이 가능하다는 점에서, 위원회는 “엄격한 키 관리와 접근 권한 통제가 필수적이었지만 이를 이행하지 않았다”고 판단했다.
외부 침입에 대한 탐지·대응도 사실상 작동하지 않았다. 해커가 공격을 시도한 기간 동안 개인정보가 포함된 페이지의 접속량이 평소보다 급증하는 이상 트래픽이 반복됐지만, 쿠팡은 고객 민원이 접수되기 전까지 유출 사실을 인지하지 못했다. 일반 상품 페이지와 개인정보 페이지에 사실상 동일한 차단 임계치를 적용해 비정상 트래픽 탐지·차단 기능을 제대로 운용하지 못했다는 지적이다.
이 사고로 회원 약 3,300만 명의 이름·이메일을 포함해, 최종 집계 기준 최소 3,322만 건의 회원 개인정보가 유출된 것으로 위원회는 파악하고 있다. 배송지관리 페이지에서 유출된 정보에는 회원이 등록한 배송지뿐 아니라 가족·지인 등 제3자의 이름·전화번호·주소도 포함돼 있었으며, 회원이 아닌 정보주체는 휴대전화번호 기준 최소 433만 명으로 추산됐다. 주문목록 페이지를 통해서는 회원 약 5만8,000명의 주문 내역이 유출됐다.
쿠팡은 위원회의 자료보전명령 이후에도 약 5개월 분량의 앱 접속 로그를 수동 삭제했고, 6개월 경과 로그를 자동 삭제하는 내부 정책을 중단하지 않아 피해 범위 확인을 어렵게 했다. 위원회는 이러한 조사 방해 행위에 대해 형사 고발도 병행하기로 했다.
동의 없는 타사 활동 기록 수집… ‘납치 광고’까지 동원한 데이터 수확
쿠팡의 문제는 유출 사고에 그치지 않았다. 위원회는 자사 제휴 마케팅 프로그램 ‘쿠팡 파트너스’ 운영 과정에서, 쿠팡이 이용자의 타사 온라인 활동 기록을 동의 없이 대규모로 수집·이용한 사실도 확인했다.
쿠팡 광고 도구가 삽입된 약 15만개 웹사이트·애플리케이션(하위 페이지를 포함하면 약 1,500만개 URL)에 이용자가 접속할 경우, 방문 시점과 URL, 기기 식별자(PC ID) 등이 자동으로 쿠팡 서버로 전송되도록 설계돼 있었다. 쿠팡은 이 데이터를 회원 식별번호와 결합해 데이터베이스에 저장하고, 맞춤형 광고에 필요한 대조·분석에 활용했다.
위원회는 “타사 온라인 활동 기록은 개인의 관심사와 성향 등을 폭넓게 파악할 수 있는 정보로, 정보주체 권리 침해 위험이 크다”며 “이러한 정보를 수집·이용할 경우에는 수집 사실과 목적을 명확히 알리고 동의를 받아야 한다”고 강조했다. 그러나 쿠팡은 자사 서비스 이용 기록에 기반한 맞춤형 광고 동의만 받은 채, 이용자가 다른 웹·앱을 방문한 기록을 수집·이용한다는 사실은 알리지 않았고, 별도의 동의도 받지 않았다.
일부 광고 파트너 사이트에 접속한 이용자를 강제로 쿠팡 서비스로 전환시키는 이른바 ‘납치 광고’ 관행도 드러났다. 위원회는 쿠팡에 대해 “광고 파트너에 대한 관리·감독을 강화하고, 개인정보가 최소한의 범위에서 적법하게 수집·이용되도록 내부 통제를 정비하라”고 시정명령을 내렸다.
타사 온라인 활동 기록의 무단 수집·이용에 대해서만 과징금 2,011억 600만 원이 부과됐으며, 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체 선택권 보장, 처분 사실 공표도 함께 명령됐다.
블랙리스트·체중 정보까지… 쿠팡풀필먼트의 ‘선 넘은’ 개인정보 관리
쿠팡 물류 자회사인 쿠팡풀필먼트서비스(CFS)의 개인정보 처리 관행 역시 ‘선 넘은’ 수준으로 드러났다. 위원회 조사에 따르면 CFS는 2017년부터 사업장 안전과 질서 유지를 명목으로 취업제한 목록(블랙리스트)을 만들어 임직원 정보를 관리해 왔다. 이 과정에서 2023년 9월부터 2024년 2월까지 물류센터 근무 이력이 없는 경찰청 출입기자 71명의 개인정보를 무단 수집해 해당 목록에 올린 사실이 확인됐다.
근로자 사망 관련 소송 과정에서 건강검진기관으로부터 ‘건강관리 목적’으로 제공받은 근로자 80명의 3년간 체중 변화 정보를 익명화 없이 법원에 제출한 사실도 확인됐다. 위원회는 “민감정보인 건강 관련 정보를 목적 외로 그대로 활용한 전형적인 민감정보 처리제한 위반 사례”라고 규정했다.
위원회는 출입기자 개인정보를 무단 수집해 블랙리스트에 등록한 행위에 대해 과징금 2억 2,000만 원을, 체중 정보 제출과 관련한 민감정보 처리제한 위반에 대해 과징금 2,800만 원을 각각 부과했다.
“플랫폼 전반에 경고 메시지… 데이터보다 먼저 고려해야 할 것은 권리”
송 위원장은 “국민 생활과 밀접한 온라인 플랫폼 전반에 보안 투자를 확대하고 내부 통제를 강화하는 계기가 되기를 바란다”며 “개인정보보호위원회도 국민의 개인정보를 보다 안전하게 보호하고 활용할 수 있는 환경을 마련하는 데 더욱 노력하겠다”고 말했다.
쿠팡에 대한 과징금은 단일 기업 제재를 넘어 플랫폼 산업 전체에 던지는 신호로 읽힌다. 데이터가 경쟁력인 시대일수록 수집·이용의 출발점은 기업의 편의가 아니라 정보주체의 통제권이라는 점을, 6,000억 원이 넘는 과징금이 다시 한번 상기시키고 있다.
기사 정정 / 반론
저작권자(c)산업종합저널. 무단전재-재배포금지
송경희 개인정보보호위원장(브리핑 영상 이미지)
개인정보보호위원회는 11일 서울 정부서울청사 본관 브리핑실(311호)에서 제11회 전체회의 결과를 브리핑하고, 쿠팡㈜에 총 6,246억 8,100만 원의 과징금과 1,680만 원의 과태료를 부과한다고 밝혔다. 자회사 쿠팡풀필먼트서비스(Coupang Fulfillment Services)에 대해서도 개인정보 처리 위반으로 2억 4,800만 원의 과징금을 추가로 부과했다. 개인정보 보호 법 집행 사상 최대 규모의 금전 제재다.
송경희 개인정보보호위원장은 “쿠팡㈜는 대규모 고객 정보를 기반으로 혁신적인 이커머스 서비스를 제공하며 비약적으로 성장했지만, 그에 상응하는 수준의 개인정보 보호 및 관리 체계를 갖추지 못한 사실이 이번 조사를 통해 확인됐다”며 “기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 법과 원칙에 따라 책임에 상응하는 처분을 내렸다”고 말했다.
마스터키 방치·이상 트래픽 묵인… 기본 안전조치 소홀로 빚어진 대규모 유출
위원회 조사에 따르면 쿠팡의 개인정보 유출 사고는 고도의 해킹이 아니라 허술한 안전관리 체계에서 비롯됐다. 2025년 4월부터 11월까지 쿠팡의 전직 직원은 재직 시 개발에 관여했던 대체 인증 기능을 악용해 위조 인증 토큰을 생성하고, 회원정보 수정 페이지·배송지관리 페이지·주문목록 페이지에 무단으로 접근했다.
사고의 핵심 고리는 인증 토큰 생성에 사용되는 ‘인증서명키’ 관리 부실이다. 쿠팡은 업무상 열람이 필요 없는 상황에서도 이 마스터키를 평문으로 볼 수 있는 키 관리 시스템을 운영했고, 해당 키에 접근할 수 있었던 직원이 퇴사한 뒤에도 키를 즉시 갱신하거나 폐기하지 않았다. 인증서명키가 유출될 경우 전체 회원 계정에 무단 접근이 가능하다는 점에서, 위원회는 “엄격한 키 관리와 접근 권한 통제가 필수적이었지만 이를 이행하지 않았다”고 판단했다.
외부 침입에 대한 탐지·대응도 사실상 작동하지 않았다. 해커가 공격을 시도한 기간 동안 개인정보가 포함된 페이지의 접속량이 평소보다 급증하는 이상 트래픽이 반복됐지만, 쿠팡은 고객 민원이 접수되기 전까지 유출 사실을 인지하지 못했다. 일반 상품 페이지와 개인정보 페이지에 사실상 동일한 차단 임계치를 적용해 비정상 트래픽 탐지·차단 기능을 제대로 운용하지 못했다는 지적이다.
이 사고로 회원 약 3,300만 명의 이름·이메일을 포함해, 최종 집계 기준 최소 3,322만 건의 회원 개인정보가 유출된 것으로 위원회는 파악하고 있다. 배송지관리 페이지에서 유출된 정보에는 회원이 등록한 배송지뿐 아니라 가족·지인 등 제3자의 이름·전화번호·주소도 포함돼 있었으며, 회원이 아닌 정보주체는 휴대전화번호 기준 최소 433만 명으로 추산됐다. 주문목록 페이지를 통해서는 회원 약 5만8,000명의 주문 내역이 유출됐다.
쿠팡은 위원회의 자료보전명령 이후에도 약 5개월 분량의 앱 접속 로그를 수동 삭제했고, 6개월 경과 로그를 자동 삭제하는 내부 정책을 중단하지 않아 피해 범위 확인을 어렵게 했다. 위원회는 이러한 조사 방해 행위에 대해 형사 고발도 병행하기로 했다.
동의 없는 타사 활동 기록 수집… ‘납치 광고’까지 동원한 데이터 수확
쿠팡의 문제는 유출 사고에 그치지 않았다. 위원회는 자사 제휴 마케팅 프로그램 ‘쿠팡 파트너스’ 운영 과정에서, 쿠팡이 이용자의 타사 온라인 활동 기록을 동의 없이 대규모로 수집·이용한 사실도 확인했다.
쿠팡 광고 도구가 삽입된 약 15만개 웹사이트·애플리케이션(하위 페이지를 포함하면 약 1,500만개 URL)에 이용자가 접속할 경우, 방문 시점과 URL, 기기 식별자(PC ID) 등이 자동으로 쿠팡 서버로 전송되도록 설계돼 있었다. 쿠팡은 이 데이터를 회원 식별번호와 결합해 데이터베이스에 저장하고, 맞춤형 광고에 필요한 대조·분석에 활용했다.
위원회는 “타사 온라인 활동 기록은 개인의 관심사와 성향 등을 폭넓게 파악할 수 있는 정보로, 정보주체 권리 침해 위험이 크다”며 “이러한 정보를 수집·이용할 경우에는 수집 사실과 목적을 명확히 알리고 동의를 받아야 한다”고 강조했다. 그러나 쿠팡은 자사 서비스 이용 기록에 기반한 맞춤형 광고 동의만 받은 채, 이용자가 다른 웹·앱을 방문한 기록을 수집·이용한다는 사실은 알리지 않았고, 별도의 동의도 받지 않았다.
일부 광고 파트너 사이트에 접속한 이용자를 강제로 쿠팡 서비스로 전환시키는 이른바 ‘납치 광고’ 관행도 드러났다. 위원회는 쿠팡에 대해 “광고 파트너에 대한 관리·감독을 강화하고, 개인정보가 최소한의 범위에서 적법하게 수집·이용되도록 내부 통제를 정비하라”고 시정명령을 내렸다.
타사 온라인 활동 기록의 무단 수집·이용에 대해서만 과징금 2,011억 600만 원이 부과됐으며, 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체 선택권 보장, 처분 사실 공표도 함께 명령됐다.
블랙리스트·체중 정보까지… 쿠팡풀필먼트의 ‘선 넘은’ 개인정보 관리
쿠팡 물류 자회사인 쿠팡풀필먼트서비스(CFS)의 개인정보 처리 관행 역시 ‘선 넘은’ 수준으로 드러났다. 위원회 조사에 따르면 CFS는 2017년부터 사업장 안전과 질서 유지를 명목으로 취업제한 목록(블랙리스트)을 만들어 임직원 정보를 관리해 왔다. 이 과정에서 2023년 9월부터 2024년 2월까지 물류센터 근무 이력이 없는 경찰청 출입기자 71명의 개인정보를 무단 수집해 해당 목록에 올린 사실이 확인됐다.
근로자 사망 관련 소송 과정에서 건강검진기관으로부터 ‘건강관리 목적’으로 제공받은 근로자 80명의 3년간 체중 변화 정보를 익명화 없이 법원에 제출한 사실도 확인됐다. 위원회는 “민감정보인 건강 관련 정보를 목적 외로 그대로 활용한 전형적인 민감정보 처리제한 위반 사례”라고 규정했다.
위원회는 출입기자 개인정보를 무단 수집해 블랙리스트에 등록한 행위에 대해 과징금 2억 2,000만 원을, 체중 정보 제출과 관련한 민감정보 처리제한 위반에 대해 과징금 2,800만 원을 각각 부과했다.
“플랫폼 전반에 경고 메시지… 데이터보다 먼저 고려해야 할 것은 권리”
송 위원장은 “국민 생활과 밀접한 온라인 플랫폼 전반에 보안 투자를 확대하고 내부 통제를 강화하는 계기가 되기를 바란다”며 “개인정보보호위원회도 국민의 개인정보를 보다 안전하게 보호하고 활용할 수 있는 환경을 마련하는 데 더욱 노력하겠다”고 말했다.
쿠팡에 대한 과징금은 단일 기업 제재를 넘어 플랫폼 산업 전체에 던지는 신호로 읽힌다. 데이터가 경쟁력인 시대일수록 수집·이용의 출발점은 기업의 편의가 아니라 정보주체의 통제권이라는 점을, 6,000억 원이 넘는 과징금이 다시 한번 상기시키고 있다.
){kind=link}
){kind=link}
){kind=link}
기사 정정 / 반론
저작권자(c)산업종합저널. 무단전재-재배포금지
많이 본 뉴스
공정위, 안전 비용 전가한 포스코이앤씨 등 4개사 검찰 고발 가닥
26일 공정거래위원회(공정위) 사무처가 하도급 업체에 산업안전 비용과 책임을 떠넘긴 포스코이앤씨, 케이알산업, 다산건설엔지니어링, 엔씨건설 등 4개 건설사를 검찰에 고발하기로 가닥을 잡았다. 유성욱 공정위 조사관리관은 브리핑을 통해 원사업자가 안전 비용을 전가하는 행위는 하도급 업
ASM, ‘세미콘 코리아 2026’ 참가… 미래 반도체 인재 잡는다
글로벌 반도체 장비기업 ASM이 국내 최대 반도체 전시회에서 인재 확보를 위한 적극적인 소통에 나선다. ASM은 11일부터 서울 코엑스에서 열리는 ‘세미콘 코리아 2026’에 참가해 채용 설명회와 현직 엔지니어 멘토링 등 다양한 인재 양성 프로그램을 운영한다고 10일 밝혔다. 부스 2층 통
"숨겨진 땀방울이 통계로"… 전시산업, 매출 17조 '진짜 몸집' 찾았다
화려한 무대 뒤, 조명을 매달고 짐을 나르는 이들의 노동은 그동안 '숫자' 밖의 영역이었다. 전시장 운영자와 주최자 등 일부만을 산업의 주체로 기록해온 낡은 셈법 탓이다. 한국전시산업진흥회(이하 진흥회)가 이 보이지 않던 가치를 공식 통계로 소환하며 전시산업의 '진짜 몸집'을 드러냈
[산업View] AI 농업로봇·자율주행 농기계 총집결… '2025 익산농업기계박람회' 4일 개막
AI(인공지능) 기반 농업 로봇과 자율주행 농기계 등 미래 농업 기술을 한자리에서 조망하는 '2025 익산농업기계박람회'가 4일 전북특별자치도 익산시 농수산물도매시장 일원에서 막을 올렸다. 7일까지 나흘간(7일은 오후 3시까지) 열리는 박람회는 농업인과 생산업체가 교류하며 미래 농업의 비
“AI가 민원 답변 초안 작성해준다”… 권익위, 생성형 AI 시스템 본격 가동
국민신문고에 축적된 방대한 민원 데이터를 인공지능(AI)이 스스로 분석해 공무원 대신 답변 초안을 작성하고, 수천 건의 중복 민원을 한 번에 처리하는 시스템이 본격 가동된다. 국민권익위원회는 5일 브리핑을 열고 ‘생성형 AI 기반 국민소통·민원분석 체계’ 구축을 완료하고 서비스를 개시한다고