역대급 6246억! 쿠팡 개인정보 유출 과징금 부과 원인과 핵심 내용 총정리

개인정보보호위원회가 쿠팡에 개인정보 유출 및 무단 수집 혐의로 역대 최대 규모의 과징금 6,246억 8,100만 원을 부과하고 형사 고발 조치를 의결했다. 전직 직원의 해킹으로 회원 및 비회원 총 3,755만 명의 개인정보가 유출됐고, 1,117만 명의 온라인 활동 기록이 무단 수집된 사실이 확인됐다. 기본적인 인증 서명키 관리 부실과 조사 과정에서의 로그 기록 삭제 등 총체적 보안 관리 실패가 이번 사상 초유의 과징금 폭탄으로 이어졌다. 로켓배송 이용자 입장에선 안심하기 어려운 상황으로 다가오며, 도대체 어떤 보안 구멍이 있었던 것인지 핵심이 꼼꼼히 정리된다.

이번 사건의 핵심 원인은 토큰 기반 인증체계의 서명키 관리 부실이다. 전자서명 검증만으로 회원 인증을 허용하던 방식에서, 퇴사 한 개발자가 서명키를 평문으로 열람할 수 있게 방치했고 즉시 갱신이나 폐기가 이뤄지지 않으면서 위조 토큰이 다수 생성돼 1억 4,800만 회 이상 무차별 시도가 계속됐다. 해킹 진행 중 비정상 트래픽이 수없이 발생했으나 협박 메일 접수 이전까지 인지가 늦었다. 또한 납치 광고로 타사 웹·앱의 온라인 활동 기록 1,117만 건을 수집해 마케팅에 활용한 점과 자회사 CFS의 취업제한 블랙리스트 관리, 181명 기자단 명단 등도 적발되며 제재 수위가 크게 상승했다. 수사 과정에서 로그 5개월 분량의 수동 삭제 및 자동 삭제 방치 등도 지적됐다.

제재 내용은 매출액 기반으로 산정돼 최고 기록을 경신했다. 무단 유출은 3,322만 명의 회원과 433만 명의 비회원 정보가 포함되었고 약 4,236억 원의 과징금과 1,680만 원의 과태료가 부과됐다. 온라인 기록 무단 수집은 1,117만 명의 타사 웹·앱 이용·온라인 활동 기록 무단 수집·저장으로 약 2,011억 원의 과징금이 추가됐다. 계열사 위반으로 기자단 181명 취업 블랙리스트 관리와 임직원 80명의 체중 수치 분석 자료 제출 등은 민감정보 위반으로 추가 과징금 2억 4,800만 원이 부과됐다. 조사 방해 및 증거 인멸로 수사기관에 형사 고발 처분이 내려졌다.

쿠팡 측은 2차 피해 방지와 설명이 충분히 반영되지 않았다며 유감을 표했으며, 의결서를 수령하는 대로 강력한 법적 대응을 예고했다. 독자들에게 가장 궁금한 내용으로는 정보 유출 여부 확인 방법과 2차 피해 예방 방법이 제시됐다. 정보 유출 여부는 앱 내 공지나 조회 페이지를 통해 확인 가능하며, 비밀번호 변경과 함께 공동현관 비밀번호도 즉시 변경하는 것이 권고된다.