AI 핵심 요약
beta- 개인정보보호위원회가 11일 쿠팡에 과징금 6246억여원을 부과했다
- 쿠팡의 인증키 관리 부실 등 안전조치 의무 위반으로 대규모 유출 책임이 크다고 판단했다
- 타사 온라인 활동 기록을 동의 없이 수집한 행위도 개인정보보호법 위반으로 제재했다
!AI가 자동 생성한 요약으로 정확하지 않을 수 있어요.
개보위 "해킹 아닌 안전관리 체계 미비"
[서울=뉴스핌] 정승원 기자 =개인정보보호위원회(개보위)가 11일 쿠팡의 개인정보 유출에 대한 과징금으로 6246억원 부과 처분을 내렸다. 이는 개인정보 유출 관련해 역대 최대 규모다.
개보위는 쿠팡이 안전조치 의무를 소홀히 하고 타사 온라인 정보를 무단 수집하는 등 책임이 컸다고 판단했다.
개보위는 이날 정부서울청사에서 브리핑을 열고 쿠팡에 대한 과징금 부과 및 시정 명령 처분 내용에 대해 발표했다. 개보위는 쿠팡 주식회사에 대해 6246억8100만원, 쿠팡풀필먼트서비스(CFS)에 대해 2억4800만원의 과징금을 부과했다.
◆ 개보위 "고도의 해킹 아닌 기본적 안전관리 체계 미비"
개보위는 이번 사고에 있어 쿠팡의 책임이 크다고 봤다. 이번 사고는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 발생했다는 판단이다.
우선 안전조치 의무 위반으로 정보 주체의 인증 수단을 안전하게 관리하지 않은 것으로 봤다. 쿠팡이 운영하는 토큰 기반 인증체계는 전자서명 검증만으로 인증을 허용하는 방식이다. 서명에 사용되는 키 관리 실패 시 전체 회원 계정에 대한 무단 접근이 가능해 엄격한 운영과 관리가 필수적이다.
하지만 쿠팡은 업무 상 대체 인증키 서명 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 운영했다. 또한 키 접근과 평문 열람이 가능했던 해커가 퇴사를 했음에도 서명키를 갱신하거나 폐기하지 않았다.
여기에 ▲불법적인 접근과 침해사고 방지를 위한 통제 소홀 ▲개인정보 유출통지 의무 위반 ▲개인정보 보호책임자의 독립적 업무수행 방해 ▲개인정보 파기 의무 위반 ▲자료 폐기 등 조사 방해의 책임이 있다고 봤다.
이에 개보위는 쿠팡이 국내 최대 온라인 플랫폼 사업자이면서도 인증 서명키를 안전하게 관리하지 않으며 안전조치 의무를 소홀히 하고 대규모 개인정보를 유출한 것에 대해 과징금 4235억7500만원을 부과했다.
◆ 타사 온라인 활동 기록 저장에도 이용자 동의 받지 않아
쿠팡이 타사의 온라인 활동 기록을 이용자 동의를 받지 않고 수집한 것도 과징금의 이유가 됐다.
쿠팡은 판매하는 상품을 광고 파트너의 매체를 통해 홍보하는 제휴 마케팅 프로그램 쿠팡 파트너스를 지난 2018년 7월부터 운영하고 있다. 이 과정에서 이용자가 해당 광고를 클릭하지 않더라도 이용자 기기의 식별자와 타사 웹사이트 및 앱을 방문한 기록을 수집해 광고 데이터베이스(DB)에 저장·보관한다.
이처럼 쿠팡은 타사 온라인 활동 기록을 기기 식별자 및 회원번호와 함께 광고 데이터베이스에 저장했다. 개보위는 이를 개인을 식별할 수 있는 개인정보에 해당한다고 봤다.
개보위는 이용자의 동의와 같은 법적 근거 없이 무단으로 타사 온라인 활동 기록을 수집해 개인정보보호법 위반의 이유로 과징금 2011억600만원을 부과했다.
송경희 개보위원장은 "이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바란다"라며 "개인정보위도 플랫폼 내에서 국민의 개인정보를 안전하게 보호하고 이용할 수 있는 환경을 마련하기 위해 더욱 노력하겠다"라고 밝혔다.
origin@newspim.com
