안녕하세요, 법무법인 청출 김광식 변호사입니다.

2026년 6월 11일, 개인정보보호위원회는 약 3,755만 명의 개인정보가 유출되고 1,117만 명의 온라인 활동기록이 무단 수집된 쿠팡 사건에 대하여, 과징금 6,246억 8,100만 원과 과태료 1,680만 원을 부과하는 제재처분을 의결하였습니다. 이는 종전 최대였던 SK텔레콤 유심정보 유출 사건의 과징금 1,348억 원을 크게 넘어서는 역대 최대 규모입니다.

이번 처분은 단순히 “해킹을 당했으니 책임을 진다”는 차원의 문제가 아닙니다. 개인정보위는 이번 사고가 고도의 해킹이 아니라 쿠팡의 기본적인 안전관리 체계 미비와 관리 소홀에서 비롯되었다고 보았고, 유출과는 별개로 법적 근거 없는 타사 온라인 활동기록의 무단 수집, 납치광고 관리·감독 소홀, 계열사의 위법한 개인정보 처리까지 함께 제재하였습니다. 즉, 안전조치 의무 위반과 정보주체의 자기결정권 침해라는 두 축이 동시에 문제 된 사건입니다.

오늘은 이번 처분의 이유와 근거, 과징금 산정 구조, 그리고 향후 집단분쟁조정 절차까지 [개인정보 변호사]의 관점에서 정리해 보겠습니다.

[Question]

개인정보위가 쿠팡에 역대 최대 규모의 과징금을 부과한 근거는 무엇이고, 기업과 정보주체는 이 처분에서 무엇을 확인해야 하나요?

[Answer]

1. 이번 사고의 핵심은 ‘고도의 해킹’이 아니라 ‘기본적인 안전조치 의무 위반’입니다

개인정보위 조사 결과, 이번 유출은 정교한 외부 침입이 아니라 쿠팡 내부의 인증키 관리 실패와 접근통제 소홀에서 비롯된 것으로 확인되었습니다. 유출의 주체는 과거 쿠팡에서 대체 인증을 직접 개발했던 전직 직원으로, 재직 당시 취득한 인증 서명키를 이용해 위조 인증토큰을 생성하고 2025년 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 페이지, 주문목록 페이지 등을 조회하며 개인정보를 유출하였습니다.

개인정보위가 안전조치 의무(개인정보 보호법 제29조) 위반으로 본 핵심 사정은 두 가지입니다. 첫째, 업무상 열람이 불필요한 경우에도 인증 서명키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하였고, 키에 접근 가능했던 직원이 퇴사하였음에도 서명키를 즉시 갱신하거나 폐기하지 않았습니다. 둘째, 해커의 공격 기간 중 평상시 대비 과도한 이상 트래픽이 발생하고 존재하지 않는 회원의 인증토큰을 이용한 비정상 접속이 다수 있었음에도, 쿠팡은 고객 민원이 접수되기 전까지 이를 인지하지 못하였습니다. 차단 임계치 설정도 미흡했고, 탐지된 이상행위에 대한 상세 분석도 이루어지지 않았습니다.

결국 개인정보위는 “키 하나가 뚫리면 전체 회원계정이 노출될 수 있는 구조”를 설계·운영하면서도 그에 걸맞은 관리를 하지 않은 점을 위법성의 근거로 삼았습니다. 이는 안전조치 의무가 ‘형식적 보안 장비의 구비’가 아니라 ‘실질적으로 작동하는 통제 체계’를 요구한다는 점을 분명히 한 것입니다.

2. 유출통지·파기 의무 위반, CPO 배제, 조사 방해까지 함께 인정되었습니다

개인정보위는 유출 자체 외에도 사고 전후 쿠팡의 대응 과정에서 여러 위반을 추가로 확인하였습니다.

유출통지 의무 위반(제34조): 쿠팡은 배송지 관리 페이지를 통한 약 16만 명의 추가 유출 사실을 인지하고도 법정 72시간이 지난 뒤에야 통지하였고, 유출된 배송지 정보에 포함된 ‘회원이 아닌 정보주체’에 대해서는 개인정보위의 수차례 촉구에도 통지를 이행하지 않았습니다.

파기 의무 위반(제21조): 내부 규정상 즉시 또는 일정 기간 후 파기했어야 할 탈퇴회원의 배송지 정보 약 246만 건, 계좌번호 약 31만 건 등을 파기하지 않았고, 그중 일부는 실제 유출로까지 이어졌습니다.

CPO 독립성 침해(제31조): 쿠팡은 자체 조사와 그 결과 공개 과정에서 개인정보 보호책임자(CPO)를 의사결정에서 배제하였고, 해커 진술에만 의존한 검증되지 않은 결과를 공개하여 사회적 혼란을 야기하였습니다. 개인정보위는 이를 CPO 제도를 형해화한 것으로 보았습니다.

조사 방해(제63조): 자료보전 명령에도 불구하고 약 5개월 분량의 웹 접속 로그를 수동 삭제하고, 로그 자동 삭제 정책을 중단하지 않아 유출 시점과 규모 확인을 어렵게 하였습니다. 이 부분에 대해서는 고발 조치까지 의결되었습니다.

이처럼 ‘유출 자체’와 ‘유출 이후 대응’이 별개의 의무 위반으로 평가된다는 점은 실무상 매우 중요합니다. 사고가 발생한 뒤의 통지·파기·내부 거버넌스·증거 보전 과정이 모두 독립적인 법적 책임의 대상이 되기 때문입니다.

3. 유출과 별개로 ‘법적 근거 없는 개인정보 수집’이라는 침해 행위가 인정되었습니다

이번 처분에서 주목할 부분은 유출 사고와 무관하게 진행된 침해 조사입니다. 개인정보위는 쿠팡이 ‘쿠팡 파트너스’ 제휴 마케팅을 운영하면서, 이용자가 쿠팡 광고가 게재된 타사 웹·앱에 접속할 때 그 방문기록(URL·앱 이름), 접속일시, 접속 IP 등 ‘타사 온라인 활동기록’을 동의 없이 수집하여 광고 DB에 저장한 사실을 확인하였습니다. 그 규모는 약 1,117만 명에 달합니다.

쿠팡은 “URL이나 앱 명칭만으로는 특정 개인을 알아볼 수 없어 개인정보가 아니다”라고 주장하였으나, 개인정보위는 해당 기록이 회원번호 및 기기 식별자와 함께 결합·저장되어 그 자체로 개인 식별이 가능한 개인정보에 해당한다고 보았습니다. 이에 동의 등 적법한 근거 없이 개인정보를 수집·이용한 행위로 보아 개인정보 보호법 제15조 제1항 위반으로 과징금 2,011억 600만 원을 부과하였습니다.

아울러 개인정보위는 일부 광고 파트너가 이용자가 광고를 클릭하지 않아도 강제로 쿠팡으로 전환시키는 이른바 ‘납치광고’를 게재하여 이용자 의사에 반하는 활동기록 수집이 이루어지도록 한 점에 대하여, 쿠팡이 관리·감독을 소홀히 하였다고 보아 개인정보 보호 원칙(제3조 제1항) 위반으로 시정명령을 내렸습니다. 이는 2022년 구글·메타에 대한 약 1,000억 원 과징금 사례와 같은 맥락으로, 행태정보 기반 맞춤형 광고에 대한 규제 흐름이 이어지고 있음을 보여줍니다.

4. 과징금은 왜 6,246억 원인가 - 산정 구조와 가중·감경 요소

현행 개인정보 보호법상 안전조치 의무 위반에 따른 과징금은 ‘전체 매출액의 3%를 초과하지 않는 범위에서, 위반행위와 관련 없는 매출액을 제외한 매출액’을 기준으로 산정됩니다. 개인정보위는 사고가 발생한 쿠팡 이커머스 서비스 매출을 기준으로 삼고, 쿠팡이츠·쿠팡플레이 등 독립적인 매출은 제외하였습니다.

이번 총 과징금 6,246억 8,100만 원은 크게 세 부분으로 나뉩니다. 유출 관련 안전조치 등 위반에 4,235억 7,500만 원, 타사 온라인 활동기록 무단 수집에 2,011억 600만 원, 그리고 계열사 쿠팡풀필먼트서비스(CFS)에 2억 4,800만 원이 각각 부과되었습니다. 여기에 유출통지·파기 의무 위반에 대한 과태료 1,680만 원이 더해졌습니다.

가중·감경 판단에서 개인정보위는 연간 매출 약 30조 원을 상회하는 대규모 개인정보처리자가 인증 시스템과 키 관리를 소홀히 하여 대규모 유출로 이어진 점, 다수의 이상행위를 6개월 이상 탐지하지 못한 점, 조사 방해가 있었던 점 등을 중대성 요소로 고려하였습니다. 반면 침해 부분에서는 수집한 정보를 맞춤형 광고 알고리즘 학습에는 사용하지 않은 점, ISMS-P 인증 취득·유지 등 개인정보 보호 노력을 지속한 점 등이 감경 요소로 참작되었습니다.

참고로, 2026년 2월 국회를 통과한 개정 개인정보 보호법은 고의·중과실에 의한 반복 위반이나 1,000만 명 이상 대규모 피해의 경우 과징금 상한을 전체 매출액의 3%에서 10%로 상향하였습니다. 다만 법적 안정성을 고려해 시행 전 발생한 사고에는 소급 적용하지 않기로 하여, 이번 쿠팡 사건에는 종전 3% 기준이 적용되었습니다. 만약 개정법이 적용되었다면 과징금 규모는 훨씬 커질 수 있었다는 점에서, 이번 처분은 향후 제재 강화의 분기점으로 평가됩니다.

5. 정보주체의 권리구제 - 집단분쟁조정 절차 재개와 추가 참가

이번 처분과 맞물려 정보주체의 피해구제 절차도 본격화되었습니다. 개인정보 분쟁조정위원회는 쿠팡을 상대로 제기된 집단분쟁조정 신청사건 2건을 단일 건으로 병합하여, 처분 다음 날인 2026년 6월 12일에 그동안 일시정지되었던 조정절차를 재개하였습니다.

이에 따라 6월 12일부터 6월 26일까지 15일간 집단분쟁조정 절차에 참가할 신청인을 추가로 모집합니다. 2025년 11월 29일 또는 그 이후 쿠팡으로부터 개인정보 유출 사실을 통지받은 이용자라면, 분쟁조정위 누리집(www.kopico.go.kr)에 게시된 신청서를 작성하여 전자우편 또는 우편으로 제출하는 방식으로 참가할 수 있습니다.

다만 쿠팡과 이미 피해보상 합의가 이루어졌거나, 같은 사안으로 다른 분쟁조정기구에서 절차가 진행 중이거나 종결된 경우, 또는 같은 침해로 이미 민사소송을 제기한 경우에는 참가가 제한됩니다. 분쟁조정위는 접수 마감 후 60일 이내에 조정안을 마련하여 통지하며, 당사자 중 어느 한쪽이라도 불수락하면 조정은 불성립합니다. 조정이 불성립하더라도 정보주체는 별도의 민사소송을 통해 손해배상을 청구할 수 있습니다.

이번 쿠팡 사건은 대규모 개인정보를 다루는 플랫폼 기업에게 안전조치 의무가 곧 핵심적인 법적 책임임을 다시 확인시킨 사례입니다. 개인정보위는 “국내·외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다”는 원칙을 분명히 하였고, 유출뿐 아니라 동의 없는 데이터 수집, 사후 대응, 내부 거버넌스까지 전 과정을 제재 대상으로 삼았습니다.

기업 입장에서는 인증·접근통제 체계의 실질적 점검, 보유·파기 정책의 정비, 맞춤형 광고와 행태정보 수집에 관한 동의 절차의 적법성 확보, 그리고 사고 발생 시 통지·신고·증거보전 절차의 사전 설계가 무엇보다 중요해졌습니다. 정보주체 입장에서는 유출통지 수령 여부와 2차 피해 가능성을 확인하고, 집단분쟁조정 또는 손해배상 청구 등 권리구제 수단을 적시에 검토할 필요가 있습니다.

법무법인 청출은 개인정보 유출·침해 사고와 관련하여 기업의 규제 대응 및 내부통제 체계 정비부터, 정보주체의 집단분쟁조정 참가 및 손해배상 청구 대응까지 개인정보 보호법 전반에 관한 법률 자문을 제공하고 있습니다. 개인정보 유출 통지를 받으셨거나 규제·분쟁 대응이 필요하신 경우, 초기 단계부터 사실관계와 증거를 체계적으로 정리하여 대응 방향을 설계해 보시길 권유드립니다.