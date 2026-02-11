쿠팡 개인정보 3367만건 유출, 배송지 등 1억4800만회 조회

실제 개인정보 유출 피해규모는 개인정보위 조사

현행법상 전체 매출 3% 과징금 부과 가능

쿠팡의 대규모 개인정보 유출 사고를 조사해온 민관합동조사단(합조단)이 3367만건의 개인정보 유출 및 1억4800만회 이상의 배송지·주문목록 조회 사실을 밝혀낸 가운데 과징금 결정의 핵심이 될 실제 피해 규모를 확정할 개인정보보호위원회 발표에 관심이 집중되고 있다.

개인정보위는 지난해 11월 쿠팡으로부터 개인정보 유출 사고 관련 신고를 접수한 뒤 조사조정국장을 단장으로 하는 집중조사 태스크포스(TF)를 구성해 조사를 진행 중이다. 조사를 마치는 대로 결과 발표에 나설 예정이다. 11일 개인정보위 관계자는 "완료 시점을 확정하기 어렵지만 조사 처분이 확정되는 시점에 결과를 발표할 것"이라고 밝혔다.

개인정보위 발표의 핵심은 이번 유출 사고의 정확한 피해 규모다. 과학기술정보통신부는 전날 정부서울청사에서 브리핑을 열고 쿠팡 이용자들의 이름과 이메일 등 개인정보 3367만건이 유출된 사실과 이 과정에서 공격자(쿠팡 전 직원)가 배송지 정보 페이지를 1억4800만여회 조회했다는 내용의 합조단 조사 결과를 발표했다.

합조단이 밝힌 유출 규모는 공격자의 쿠팡 웹 접속 기록 등을 기반으로 산정된 수치로, 정확한 개인정보 유출 규모는 아니다. 쿠팡이 지난 5일 공개한 16만여건의 추가 유출 신고 내용도 반영되지 않았다. 여기에 공격자가 배송지 목록 페이지를 1억4800만여회 조회하는 과정에서 발생한 개인정보 유출 건수도 가려내야 한다. 특히 공격자는 암호화되지 않은 공동현관 비밀번호가 포함된 '배송지 목록수정' 페이지도 5만474회 조회했다.

최우혁 과기정통부 정보보호네트워크정책실장은 "개인정보보호법 지침에 따라 공격자가 정보를 조회했다는 건 정보의 유출을 의미한다"고 밝혔다. 쿠팡 이용자들이 배송지 정보에 본인의 배송 정보뿐 아니라 가족·지인 등의 배송 정보를 저장하는 경우도 많다는 점을 고려하면 정보 유출 규모가 더욱 커질 가능성을 배제할 수 없다. 다만, 공격자가 동일한 이용자의 배송지 정보 페이지를 반복 열람했을 가능성이 있는 만큼, 1억4800만여회 조회를 1억4800만여건 유출로 확정하기는 어렵다.

쿠팡 모회사인 쿠팡Inc는 합조단 조사 결과를 반박하는 입장문을 통해 조회 수가 곧 정보 유출 규모로 오인될 수 있다는데 우려를 드러내면서 "합조단은 공격자가 공용현관 출입 코드에 대해 5만여건 조회했다고 기재하면서도, 해당 조회가 실제로는 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과도 누락했다"고 주장했다.

이 밖에도 개인정보위는 쿠팡의 폐쇄회로(CC)TV 영상의 목적 외 이용·제공 여부, 이른바 '납치광고'로 불리는 '강제전환 광고' 등 개인정보보호법 위반 소지가 있는 사안 전반을 들여다보고 있다.

실제 피해 규모가 확정되면 과징금 산정 단계로 넘어간다. 쿠팡의 유출사고 규모가 앞선 SK텔레콤 유심(USIM) 정보 유출 사고를 뛰어넘은 만큼, 업계에서는 역대 최대 규모의 과징금이 부과될 수 있다는 전망이 나온다. 이번 사고로 유출된 정보 가운데 계정 정보만으로 한정하더라도 3300만여개 이상인데, 이는 SKT 유출사고 당시의 피해자 규모인 약 2324만명보다 많다. SKT는 지난해 개인정보위로부터 1347억9000만원의 과징금을 부과받았는데, 이에 불복해 행정소송을 제기했다.





현행 개인정보보호법상 전체 매출액의 최대 3%를 과징금으로 부과할 수 있다. 이를 근거로 최근 3년간 쿠팡의 매출을 기준으로 단순 계산 시 9000억원대의 과징금 부과가 가능하다. 다만 위반 행위와 관련 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하게 돼 있는 점과 개인정보위의 조사 결과 등을 고려해 실제 과징금 규모가 정해질 것으로 보인다.





