세계 최고 수준 과징금 철퇴 맞은 쿠팡, 한미 통상 갈등 트리거 되나

안전관리 부실·무단 정보수집 적발
메타·아마존 사례 상회하는 규제 강도
쿠팡 즉각 반발, 미국 정치권 움직임도 가시화

개인정보보호위원회가 3,750만 명의 개인정보 유출 사고를 낸 쿠팡에 6,247억원대 과징금을 부과했다. 국내 개인정보 규제 역사상 가장 강력한 제재 수위이자, 글로벌 개인정보 유출 사건과 견줘도 손꼽히는 규모다. 쿠팡이 즉각 불복 절차에 착수한 가운데 미국 정치권에서도 관련 움직임이 이어지고 있어 파장이 예상된다.

정보유출에 4,236억원, 회원 활동 무단수집에 2,011억원 과징금

11일 개인정보위는 개인정보 보호 법규를 위반한 쿠팡에 과징금 6,246억8,100만원과 과태료 1,680만원 등을 부과하기로 의결했다고 발표했다. 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등을 이유로 들었다. 자회사 쿠팡풀필먼트서비스(CFS)에도 개인정보 수집·이용 및 민감정보 처리 제한 위반 등을 들어 과징금 2억4,800만원을 부과했다. 이번 과징금은 종전 최대인 SK텔레콤 유심(USIM) 해킹 사고 과징금 1,348억원의 다섯 배에 달한다.

개인정보위는 쿠팡이 인증 서명키 관리와 접근 통제 등 기본 안전관리 체계를 소홀히 해 대규모 개인정보 유출을 막지 못했다고 판단하고, 유출 사고에 더해 무단 개인정보 수집, 자회사의 취업제한 목록까지 세 갈래 위법 행위를 한 번에 제재했다. 개인정보위 조사에 따르면 이번 유출 사고는 쿠팡 전직 직원(해커)이 인증 서명키를 이용해 위조 인증토큰을 만든 뒤 회원 정보 수정 페이지와 배송지 관리 페이지 등에 접근하면서 일어났다. 유출된 개인정보는 회원 3,322만2,472명(계정 기준)과 회원이 아닌 433만8,368명(전화번호 기준)이다.

개인정보위는 “정보주체 인증수단을 안전하게 관리하지 않은 점과 불법적인 접근 및 침해사고를 위한 접근통제를 소홀히 한 점 등이 안전조치 의무 위반 행위”라고 적시했다. 조사 과정에서 쿠팡의 개인정보 유출 통지와 파기 의무 위반, 개인정보보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가로 확인했다고 개인정보위는 설명했다. 개인정보위는 이번 사고를 고도의 해킹이 아니라 기본적인 안전관리 체계 미비와 관리 소홀에서 비롯된 사고로 판단했다. 이에 따른 과징금은 4,235억7,500만원, 유출 통지·파기 의무 위반에 따른 과태료는 1,680만원이다.

개인정보위는 쿠팡이 마케팅 프로그램인 쿠팡파트너스를 통해 뉴스와 다른 쇼핑몰의 활동 기록을 수집한 것과 관련해 별도로 과징금 2,011억600만원을 부과했다. 쿠팡은 2024년 12월부터 지난 2월까지 1,564만5,338개 타사 웹페이지와 앱을 방문한 쿠팡 이용자 1,117만613명의 온라인 활동 기록을 동의 없이 수집·저장했다. 방문한 인터넷주소(URL), 앱 이름, 접속 일시, 접속 IP 등을 회원 번호 및 기기 식별자와 함께 내부 데이터베이스에 저장한 것으로 알려졌다.

개인정보위는 광고를 클릭하지 않아도 쿠팡 앱으로 강제 전환되는 이른바 ‘납치 광고’에 대해서도 시정명령을 내렸다. 부정광고를 게재하는 광고 파트너를 적절히 관리·감독하지 않은 점을 문제삼았다. 아울러 쿠팡풀필먼트서비스도 제재했다. 쿠팡풀필먼트서비스는 물류센터 근무 이력이 없는 경찰청 출입 기자 71명을 ‘허위사실 유포’ 사유로 취업 제한 목록에 등록했다. 개인정보위는 이를 법적 근거 없는 개인정보 수집·이용으로 보고 과징금 2억2,000만원을 물렸다.

5억 명 정보 털린 메타의 1.6배 수준

쿠팡 과징금이 공개되자 업계 일각에서는 과징금 규모가 지나치다는 비판이 나왔다. 실제 해외 사례까지 포함해도 이번 과징금 규모는 역대 최고 수준의 제재로 평가된다. 직전 최대 규모 과징금은 지난 2021년 아일랜드 데이터보호위원회가 5억3,300만 명의 페이스북 아이디와 이름, 생년월일, 전화번호 등 고객 정보가 유출된 메타에 부과한 2억6,500만 유로(약 3,800억원)다. 쿠팡에 부과된 과징금 규모는 이보다 50%가량 큰 것이다.

다만 글로벌 개인정보 제재의 전체 지형을 놓고 보면 쿠팡 제재를 세계 최대 과징금으로 단정하기는 어렵다. 룩셈부르크 개인정보보호당국(CNPD)은 2021년 맞춤형 광고를 위한 개인정보 처리 과정에서 이용자 동의를 적절히 받지 않았다며 아마존 유럽법인에 7억4,600만 유로(약 1조2,680억원)의 과징금을 부과한 바 있다.

게다가 메타의 경우 미국에서도 거액의 제재를 받았다. 2024년 메타는 페이스북 이용자들의 사진과 동영상에서 안면인식 정보를 무단 수집한 것 관련 미국 텍사스주 정부에 14억 달러(약 2조1,000억원) 규모의 합의금을 지급하기로 했다. 이에 앞서선 미국 연방거래위원회(FTC)가 2019년 메타가 FTC와 체결한 개인정보 보호 관련 합의를 위반하고 소셜로그인 서비스를 이용하는 앱 개발자들이 로그인 당사자는 물론 친구 목록에 포함된 이용자들의 개인정보까지 무단 수집하도록 했다며 50억 달러(약 7조5,000억원)의 벌금을 부과했다.

같은 해 미국 신용평가회사 에퀴팩스는 보안 패치를 적용하지 않아 해킹 공격을 받으면서 사회보장번호, 이름, 생년월일, 주소, 신용카드 번호 등 개인정보가 유출된 사건과 관련해 FTC와 소비자금융보호국(CFPB), 미국 50개 주 정부와 5억7,500만 달러(약 8,630억원) 규모로 합의했다. 이 가운데 3억 달러는 피해자 구제를 위한 기금으로 조성됐으며, 보상 청구 규모에 따라 최대 1억2,500만 달러가 추가될 수 있어 전체 합의 규모는 최대 7억 달러(약 1조500억원)까지 늘어날 수 있다.

쿠팡, 과징금 불복 행정소송 방침

문제는 이번 쿠팡 과징금 부과가 개인정보 보호 강화라는 본래 취지와 다른 방향으로 전개될 가능성이다. 쿠팡은 뉴욕증권거래소(NYSE)에 상장된 미국 기업이다. 이 때문에 한국 정부는 미국 정·관계로부터 다양한 압박을 받아왔다. 지난 1월 22일 한국 쿠팡 법인 100%를 소유하고 있는 미국 뉴욕증시 상장사 쿠팡Inc 투자사인 그린옥스와 알티미터 등은 한국 정부의 쿠팡 대응을 문제 삼아 미국무역대표부(USTR)에 무역법 301조 조사를 청원했다. 이들은 당시 청원에서 한국 정부가 쿠팡의 개인정보 유출 사건을 계기로 범정부 차원의 조사와 규제 조치를 동원해 미국 기업을 부당하게 압박하고 있다고 주장했다.

이들은 또 한국 정부가 쿠팡에 대한 조사와 규제 조치를 통해 한국 국내 기업과 중국 경쟁업체에 유리한 환경을 조성하려 했다고도 주장하며 미국 정부의 대응을 촉구했다. 특히 이재명 대통령과 한국 법무부를 상대로 국제투자분쟁(ISDS) 중재 신청을 제기하겠다는 의향서도 발송했다. 이후 미 하원 법사위원회는 해롤드 로저스 쿠팡 한국 임시대표를 비공개 의견 청취 참고인으로 불렀고, 김민석 국무총리가 방미했을 때 만난 JD 밴스 부통령은 쿠팡 사태를 언급했다. 지난 3일에는 미 하원 외교위원회 청문회에서는 대럴 아이사 의원이 "한국의 민주주의가 강하게 좌측으로 기울었고 중국을 향한 더 많은 통로를 열어주고 있다"며 "메타와 쿠팡 등을 포함한 미국 기업들을 억압하고 있다"고 압박하기도 했다.

불확실성이 큰 도널드 트럼프 행정부의 특성과 그간 쿠팡 문제를 다뤄온 미 의원들의 반응 등을 고려하면, 이번 과징금 부과를 계기로 다시 압박을 이어갈 가능성이 크다. 미국 글로벌 디지털 뉴스플랫폼 세마포는 11일 “트럼프 대통령 쪽 인사들이 쿠팡과 한국의 갈등에 불을 지핀다”는 제목의 기사에서 미 공화당 인사들이 쿠팡을 방어하기 위해 나서고 있다고 보도했다. 매체는 쿠팡 사안에 정통하다는 관계자를 인용해 “제이미슨 그리어 무역대표부 대표가 쿠팡의 우려를 해결할 방안을 마련하기 위해 직접 노력하고 있다”고도 전했다. 또 쿠팡이 친트럼프 마가(MAGA) 성향의 로비스트 네트워크를 활용하기 시작하면서 미국에서 쿠팡을 돕자는 목소리가 커졌다고 보도했다.

쿠팡 역시 과징금 처분에 불복해 행정소송에 나선다는 방침이다. 쿠팡은 11일 입장문을 통해 “이번 개인정보 유출 사고로 고객과 국민께 심려를 끼쳐드린 점에 대해 엄중한 책임을 통감한다”면서도 “작년 데이터 유출 사태와 관련 2차 피해를 방지하기 위한 선제적 조치와 명확한 사실관계에 근거한 설명이 개인정보위 결정에 충분히 반영되지 못한 점은 유감스럽게 생각한다”고 밝혔다. 그러면서 서울행정법원에 행정소송을 제기해 적극적으로 법적 구제를 추진할 계획이라고 설명했다. 쿠팡 미국 모회사인 쿠팡 Inc는 개인정보위 처분 결과 발표 이후 미국 증권거래위원회(SEC)에 제출한 수시보고서(Form 8-K)에서 "개인정보위의 심의 결과와 제재 조치에 대해 법원의 사법적 심사를 청구할 것”이라며 소송 제기 방침을 분명히 했다.