개인정보보호위원회(개보위)가 쿠팡에 6,246억 원이라는 역대 최대 규모의 과징금을 부과했습니다. 이 소식을 처음 접한 건 주말 오전, 고장 난 수동 필름 카메라를 분해하다 잠깐 스마트폰을 켰을 때였는데, 순간 손에 들고 있던 핀셋이 뚝 멈출 정도로 머릿속이 쾅 울렸습니다. 국민 4명 중 3명이 쓰는 플랫폼에서 3,755만 명의 개인정보가 새어 나갔고, 그 뒷수습마저 엉망이었다는 사실은 단순한 기업 사고가 아닙니다.
쿠팡 개인정보 유출: 숫자로 드러난 보안 불감증
저는 주말마다 1970년대 아날로그 기계를 분해하면서 한 가지를 깨달았습니다. 아무리 겉이 번지르르해도 내부 기어 하나가 어긋나면 전체 시스템이 멈춘다는 것입니다. 이번 쿠팡 사태를 보면서 그 생각이 정확히 들어맞았습니다.
사건의 발단은 지난해 11월 해킹으로 인한 대규모 개인정보 유출이었습니다. 개보위의 조사 결과에 따르면 피해 규모는 회원 3,322만 명에 더해 비회원 433만 명을 포함한 총 3,755만 명으로 확인됐습니다. 유출된 내용에는 이름, 전화번호, 주소, 배송지 정보 6,398만 건은 물론이고 일부 공동현관 비밀번호와 성인용품 구매 내역까지 포함돼 있었습니다(출처: 개인정보보호위원회).
제가 직접 기사를 읽으면서 가장 소름이 돋은 지점은 쿠팡이 이 유출 사실을 무려 5개월이나 몰랐다는 부분이었습니다. 카메라를 수리할 때 부품이 빠진 걸 5개월 동안 모른다는 게 가능한 일인지, 제 경험상 이건 단순한 실수가 아니라 내부 안전관리 체계 자체가 부재했다는 증거입니다.
더 심각한 건 사후 대응이었습니다. 개보위가 증거 보존 명령, 즉 조사 기관이 증거자료를 삭제하지 말라고 내리는 법적 명령을 발동했는데도 쿠팡은 5개월 치 웹 접속 로그(웹사이트 서버에 누가 언제 접속했는지 기록한 데이터)를 수동으로 삭제했습니다. 앱 로그 자동 삭제 기능도 멈추지 않아 정확한 피해 범위 파악 자체를 불가능하게 만들었습니다. 고장 난 부품을 기름칠로 덮어버리는 눈속임을 보는 것 같아 솔직히 기가 막혔습니다.
이번 과징금 부과에서 확인된 쿠팡의 주요 위반 사항을 정리하면 다음과 같습니다.
- 개인정보 유출 관련 과징금 4,236억 원: 5개월간 유출 인지 실패, 증거 로그 수동 삭제, 72시간 법정 통지 기한 초과
- 온라인 활동기록 무단 수집 과징금 2,011억 원: 이용자 1,117만 명의 타사 웹·앱 방문 기록을 동의 없이 수집해 맞춤형 광고에 활용
- 탈퇴 회원 정보 미파기: 배송지 정보 246만 건, 계좌번호 31만 건을 내부 규정에도 불구하고 파기하지 않아 2차 피해 발생
- 비회원 미통지: 433만 명의 비회원에게는 유출 사실을 끝내 알리지 않음
기존 역대 최대 기록이었던 SK텔레콤 유심 정보 유출 과징금의 약 4.6배에 달하는 규모라는 점은, 이번 사안이 단순 과실이 아닌 구조적 문제라는 개보위의 판단을 그대로 반영합니다.
납치 광고와 행정소송: 쿠팡의 다음 수가 더 문제입니다
개보위가 이번에 지적한 것은 개인정보 유출만이 아니었습니다. 쿠팡이 운영하는 제휴 마케팅 프로그램인 쿠팡 파트너스를 통해 이용자 1,117만 명의 타사 웹·앱 방문 기록이 동의 없이 수집됐다는 사실도 함께 드러났습니다.
여기서 더 황당한 건 이른바 '납치 광고'의 존재였습니다. 납치 광고란 이용자가 광고를 클릭하지 않았음에도 강제로 쿠팡 앱이나 웹으로 이동시키는 방식의 기만적 광고 기법을 말합니다. 쉽게 말해 제가 다른 앱을 쓰고 있는데 갑자기 쿠팡 앱으로 튕겨 나가는 상황입니다. 제 경험상 실제로 이런 현상을 겪은 적이 있었는데, 당시에는 그냥 앱 오류겠거니 넘겼던 기억이 납니다. 그게 의도된 구조였다는 사실을 이번에야 알았습니다.
쿠팡은 이를 인지하고도 해당 파트너사를 제재하지 않았고, 무단 수집 행위에 별도로 2,011억 원의 과징금이 부과됐습니다. 여기에 물류 자회사 쿠팡풀필먼트서비스(CFS)가 경찰청 출입기자단 71명의 명단을 수집해 취업 블랙리스트로 관리했다는 사실까지 나왔습니다. 솔직히 이 대목에서는 단순한 보안 사고 기업이 아니라, 감시와 통제를 조직적으로 운영해 온 기업이라는 인상을 지울 수 없었습니다.
쿠팡은 입장문에서 "사실관계가 충분히 반영되지 못했다"며 행정소송을 예고했습니다. 여기서 모럴 해저드(moral hazard)라는 개념이 떠올랐습니다. 모럴 해저드란 책임을 지지 않아도 된다는 확신이 생겼을 때 위험한 행동을 반복하는 도덕적 해이 현상을 말합니다. 과징금을 다투겠다는 태도 자체가 나쁜 건 아닙니다. 문제는 미국 상장사 공시 의무라는 논리로 미국 정계 일부의 '한국이 미국 기업을 차별한다'는 통상 마찰 프레임을 뒤에서 작동시키려 한다는 점입니다.
메타(Meta)가 유럽연합(EU)의 GDPR(일반 개인정보보호법) 위반으로 12억 유로, 우리 돈으로 약 1조 8,000억 원에 달하는 과징금을 받았을 때 미국 정부가 유럽을 향해 통상 압박을 가했다는 이야기는 들어본 적이 없습니다(출처: 유럽 개인정보보호위원회). GDPR이란 EU가 2018년부터 시행한 개인정보보호 규정으로, 위반 시 전 세계 연간 매출액의 최대 4%를 과징금으로 부과할 수 있는 강력한 제도입니다. 그 기준으로 보면 이번 쿠팡 과징금은 오히려 적당한 수준일 수도 있습니다.
오는 9월에는 중대 개인정보 유출 사고에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 개정된 개인정보보호법이 시행될 예정입니다. 이번 소송전이 길어질수록 쿠팡이 지불해야 할 사회적 신뢰 비용은 과징금 숫자보다 훨씬 클 것입니다.
이번 사태를 계기로 저는 포트폴리오와 소비 패턴을 다시 들여다봤습니다. 편리함이라는 사탕발림 뒤에 공동현관 비밀번호와 소비 이력이 고스란히 서버에 쌓인다는 사실을 데이터로 마주하고 나니, 무엇을 어느 플랫폼에 맡길지 훨씬 더 냉정하게 따져보게 됐습니다. 기계든 조직이든 내부 제어 장치가 무너지면 결국 전체가 터진다는 걸, 오늘 아침 카메라 기어를 닦으면서 다시 한번 확인했습니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 법률·금융 조언이 아닙니다. 투자나 법적 판단은 반드시 전문가와 상담하시기 바랍니다.
참고: https://newneek.co/@newneek/article/41298?utm_source=article&utm_medium=share&utm_content=41298