개인정보위, 쿠팡 및 계열사의개인정보 유출 및 침해 제재처분 의결
2026. 6. 11
- 쿠팡의 안전조치 의무 위반 및 법적 근거 없는 개인정보 수집 등에 대하여, 과징금 6,246억 8,100만 원과 과태료 1,680만 원 부과와 함께 시정명령, 공표 및 공표 명령 등을 의결
- 쿠팡풀필먼트서비스(CFS)의 개인정보 수집·이용 및 민감정보 처리 제한 위반을 확인하여 과징금 2억 4,800만 원 부과
쿠팡 개인정보 유출 관련
▷ “인증 서명키 관리 및 접근통제 소홀 등 기본적인 안전관리 체계 미흡으로 약 3,755만 명의 개인정보 유출” 결론
※ 유출통지·파기 의무 및 개인정보 보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 등도 추가 확인
▷ “유사 사고 재발방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, CPO의 실질적 역할 보장 등”을 시정 명령함과 동시에 “탈퇴회원 개인정보 처리 체계”와 관련하여 개선 권고하여, 3개월 내 이행 및 조치 결과 확인 예정
쿠팡의 정보주체 권리 침해 관련
▷ 쿠팡에서 타사 웹·앱에 접속한 회원 약 1,117만 명의 온라인 활동기록*을 무단 수집하여 DB에 저장하는 사실을 확인
* 쿠팡 광고가 게재된 타사 웹·앱에 대한 이용자의 방문기록(URL·앱 이름), 접속일시, 접속IP 등
▷ 부정광고(납치광고)를 게재하는 광고 파트너를 적절히 관리·감독하지 않아 이용자 의사에 반하여 쿠팡 서비스 이용기록이 수집되도록 한 사실도 함께 확인
▷ 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리·감독 강화 등 시정명령
쿠팡풀필먼트서비스(CFS)의 정보주체 권리 침해 관련
▷ 물류센터에 근무한 이력이 없는 경찰청 출입기자단 명단(71명)을 수집하여 취업제한 목록에 등록‧관리한 것은 개인정보 수집·이용 위반 판단
▷ ‘임직원 건강 관리’를 목적으로 보유·관리 중인 임직원의 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 것은 민감정보 처리 위반 판단
개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 6월 10일(수) 제11회 전체회의를 열고, 개인정보 보호 법규를 위반한 쿠팡 주식회사(이하 ‘쿠팡’)에 총 6,246억 8,100만 원의 과징금 및 1,680만 원의 과태료 부과와 함께 시정 명령, 공표 및 공표 명령 등을 의결하였다.
또한, 개인정보 보호 법규 위반이 확인된 쿠팡풀필먼트서비스 유한회사(이하 ‘CFS’)에 대해서도 총 2억 4,800만 원의 과징금 부과를 의결하였다.
개인정보위는 ’25. 11. 20. 쿠팡의 신고를 접수하고, 11. 21. 개인정보 유출 조사에 착수하였다.
이후, 개인정보위는 국회 청문회, 언론보도 및 타 부처* 등으로부터 납치광고, 취업 제한 목록 등과 관련된 쿠팡 및 CFS의 개인정보 침해 소지가 다수 제기됨에 따라 ’26. 1. 7. 추가적인 조사를 추진하였다.
* 방송미디어통신위원회에서 쿠팡의 납치광고 관련 개인정보 침해 사항 이첩(’25.12.23.)
개인정보위는 쿠팡 서비스가 국민 대다수가 일상적으로 이용하는 생활 인프라 성격의 플랫폼으로 개인정보 유출·침해 발생 시 대국민 영향도가 큰 점 등을 고려하여 한국인터넷진흥원(원장 이상중, 이하 ‘KISA’)과 함께 집중조사 태스크포스(이하 ‘TF’)를 구성(’25.11.30.)하여 관련 사실관계, 개인정보 보호 법규 위반 여부 등을 중점 확인하였고, 국내‧외 기업 여부 등에 대한 고려 없이, 오직 ‘법과 원칙에 따라 책임에 상응하는 처분 부과’라는 원칙 하에 이번 조사를 진행하였다.
쿠팡 개인정보 유출 관련
1. 유출 관련 사실관계
가. 대응 경과
개인정보위는 해커가 보낸 협박 메일을 받은 고객의 민원 접수를 통해 회원 4,536명의 개인정보가 유출된 사실을 인지한 쿠팡이 지난해 11월 20일 최초 유출 신고를 해 옴에 따라, 11월 21일 신속히 조사에 착수하였다.
이후 조사 진행 과정에서 쿠팡은 해커로부터 2차 협박 메일을 수신(‘25.11.25.)한 후 자체 검증 결과 최초 유출 신고한 규모가 아닌 3천 3백만 개 이상의 계정이 유출된 사실을 인지하여 11월 29일 2차 유출 신고를 하였고, 약 16만 5천여 개 회원 계정의 추가 유출 사실을 인지하고 3차 유출신고(’26.2.5)를 한 바 있다.
나. 유출 경위
해커는 과거 쿠팡에서 근무하던 당시 대체 인증*을 직접 개발했던 전직 직원(’24년말 퇴사)으로, 대체 인증 서명키를 획득한 이후 사전 유출 테스트 과정(’25.1.)을 거쳐, ’25년 4월부터 11월까지 회원정보 수정 페이지, 배송지 관리 및 주문목록 페이지 등을 조회하며 개인정보를 유출하였다. 구체적인 유출 경위는 아래와 같다.
* 쿠팡은 이용자가 ID/PW 등을 통해 로그인한 이후, 별도 재인증 절차없이 서비스를 이용할 수 있도록 인증토큰을 발급하는 인증 체계를 운영하면서, 시스템의 가용성 및 신뢰성 확보를 위해 백업 인증 목적으로 대체 인증을 개발·운영(’24.4.)
➀ 우선, 해커는 ‘25. 1. 25. 본인 계정을 포함한 총 95개 계정에 대해 이전에 탈취한 인증 서명키와 회원번호를 이용하여 대체 인증토큰을 생성하였고, 이를 통해 회원정보 수정 페이지 및 배송지 관리 페이지를 대상으로 유출 테스트를 수행하였다(각각 101회, 141회 조회).
➁ 이후, ’25. 4. 14.부터 6. 25.까지 회원번호를 순차적으로 증가시키며 다수의 위조 인증토큰을 생성하였고, 배송지 관리 페이지에 약 1억 4,800만회 접근하여 유효한 회원번호를 파악하고, 배송지 정보(이름, 전화번호, 주소)를 유출하였다.
➂ 이어서, ’25. 6. 24.부터 10. 12.까지 앞선 단계에서 파악한 유효한 회원번호와 인증서명키를 이용하여 회원정보 수정 페이지에 34,966,812회 접근하여 개인정보(이름, 이메일주소)를 유출하였고,
➃ ‘25. 9. 26.부터 11. 8.까지 배송지 수정 페이지에 50,474회, 주문 목록 페이지에 85,213회 접근하여 공동현관 비밀번호 및 주문정보를 추가로 유출하였다.
해커는 유출한 정보를 조합하여 회원별 프로필을 재구성하였고 샘플 데이터를 포함한 두 차례(1차 : ’25.11.9.~11.17., 2차 : 11.25.) 협박 메일을 회원과 쿠팡 측에 각각 발송하였다.
※ 2차 협박 메일에는 한국 회원의 주소 1억 2천만 개, 주문정보 5억 6천만 개, 이메일 주소 3천 3백만 개 이상을 보유하고 있다는 사실과 함께 지역 및 이메일 도메인별 분류 수치를 제시하였고, 샘플 데이터에는 성인용품, 속옷 구매 내역 등 민감한 정보가 다수 포함
다. 유출 내용
TF 조사 결과, 해커는 쿠팡이 제공하는 다수 서비스 페이지에 접근하여 총 33,222,472명의 ‘회원’ 개인정보(계정 기준)와 최소 4,338,368명(휴대전화번호 기준)의 ‘회원이 아닌 정보주체’(배송지 관리 페이지 내에 포함)의 개인정보를 유출한 것으로 확인되었다. 유출 경로별 구체적인 유출 항목 및 규모 등은 아래와 같다.
※ 회원의 경우, 식별번호가 부여되는 ‘계정’ 기준으로 산출하였고, 회원이 아닌 정보주체는 식별번호가 존재하지 않아 식별력이 높고 중복제거 가능한 ‘휴대전화번호’ 기준 산출
➀ 회원정보 수정 페이지에서 33,057,012명의 회원 개인정보(이름, 이메일)가 유출된 것으로 확인되었다.
※ (산정 기준) 해커는 33,673,817개 계정의 회원정보 수정 페이지에 접근했으나, 탈퇴 등으로 인해 DB에 데이터가 없는 경우에는 해당 페이지에 표출되는 정보가 없어 제외
➁ 배송지 관리 페이지에서는 최소 22,375,359명의 회원이 등록한 배송지 정보(이름, 전화번호, 주소, 공동현관 비밀번호(마스킹)) 63,986,351건*이 유출되었다.
아울러, 회원이 등록한 배송지 정보에는 회원 본인 외에도 가족, 친구 등 제3자의 이름, 전화번호, 주소 등이 다수 포함되어 있었고 회원이 아닌 정보주체는 최소 4,338,368명(휴대전화번호 기준)으로 확인되었다.
* 해당 규모는 조사당시 확인가능한 ‘25.6.3. 이후 로그를 분석하여 확인한 최소 수치이며, 해커의 배송지 페이지 공격기간(’25.4.14~6.25), 해커 협박메일(배송지 정보 1.2억건 보유 주장) 등 고려 시 해당 페이지를 통해 유출된 정보주체는 더 있을 것으로 추정
※ 배송지 수정 페이지에서는 2,580명의 마스킹되지 않은 공동현관 비밀번호 4,226건 유출
➂ 주문 목록 페이지에서는 회원 58,349명의 주문내역(주문일, 상품명, 수량, 가격) 272,470건이 유출된 것으로 확인되었다.
2. 개인정보 보호법 위반 사항
쿠팡의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 이번 사고는 고도의 해킹이 아닌 쿠팡의 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생한 것으로 확인되었다. 조사 과정에서 확인된 주요 위반 사항은 다음과 같다.
가. 안전조치 의무 위반
① 정보주체의 인증수단을 안전하게 관리하지 않은 행위
쿠팡이 운영하는 토큰 기반의 인증체계는 전자서명 검증만으로 인증을 허용하는 방식으로, 서명에 사용되는 키 관리 실패 시 전체 회원계정에 대한 무단 접근을 허용할 수 있다는 점에서 심각한 위험을 초래할 수 있어 엄격한 운영·관리가 필수적이다.
그러나, 쿠팡은 업무상 대체 인증 서명키 열람이 불필요한 경우에도 키를 평문으로 볼 수 있도록 키 관리 시스템을 운영하는 등 접근권한 관리를 소홀히 하였고, 키 접근 및 평문 열람이 가능하였던 해커가 퇴사(’24.12.31.)하였음에도 서명키를 즉각 갱신 또는 폐기하지 않는 등 인증 서명키를 안전하게 관리하지 않았다.
② 불법적인 접근 및 침해사고 방지를 위한 접근통제를 소홀히 한 행위
해커의 공격 기간 중(‘25.4~11), 개인정보가 포함된 페이지(회원정보 수정, 배송지 관리)에 대한 접속량이 평상시 대비 급격하게 증가하는 등 과도한 이상 트래픽이 발생하였고, 실제 존재하지 않은 회원의 인증토큰(4,400만 여 개)을 이용한 비정상 접속이 다수 있었음에도 쿠팡은 해커의 협박 메일을 받은 고객 민원 접수 전까지 이상행위를 인지하지 못하였다.
※ 해커는 25.4.~6. 동안 배송지 관리 페이지 대상, 16개 IP로만 1억 4,800만여 회 공격 시도(이 중 6월에만 1억 1,700만여회 공격)
또한, 개인정보가 포함된 페이지에 대한 차단 임계치 설정이 미흡하였고, 탐지된 다수의 이상행위에 대해 별도의 상세 분석을 수행하지 않아 사전에 유출사고를 차단할 수 있는 기회를 놓친 사실도 확인되었다.
나. 개인정보 유출통지 의무 위반
조사 과정에서 쿠팡은 배송지 관리 페이지를 통해 회원 약 16만명의 개인정보가 추가 유출된 사실을 ’26. 1. 30.경 인지하였음에도, 법령에서 정한 72시간이 경과한 ‘26. 2. 5.에서야 유출 사실을 통지하였다.
아울러, 개인정보위는 유출된 배송지 정보에 쿠팡 회원이 아닌 정보주체의 개인정보(이름, 전화번호, 주소)가 존재하여, 이들에 대한 유출통지를 이행할 것을 수차례 촉구(‘25.12.3., 12.10., 12.26., ‘26.1.14.)하였음에도, 쿠팡은 이에 대한 통지를 이행하지 않았고, 해당 정보주체는 유출사실을 인지하지 못해 2차 피해 예방을 위한 대응 기회를 상실하게 되었다.
다. 개인정보 보호책임자(CPO)의 독립적 업무 수행 방해
쿠팡은 해커에 대한 자체 조사(’25.12.9.~12.18.)를 진행하고, 그 결과를 홈페이지를 통해 공개(’25.12.25.)하는 과정에서 개인정보 보호책임자(CPO)를 의사결정 과정에서 배제하고 관련 정보를 공유하지 않았고, 그 결과 해커의 진술에만 의존한 자체 조사 결과가 사실관계 검증 없이 쿠팡 앱/웹 내 공지 배너, 언론 등을 통해 공개되어 사회적 혼란이 야기되었다.
이는 단순한 내부 소통의 부재가 아니라, 개인정보 보호 체계의 핵심인 CPO 제도를 형해화하는 것으로 보호법이 보장하는 CPO의 독립적인 직무수행 권한을 실질적으로 무력화한 것으로 판단하였다.
라. 개인정보 파기 의무 위반
쿠팡은 회원정보는 탈퇴 후 90일 경과 시(일부 정보 분리보관), 주소·계좌번호는 탈퇴 즉시 파기하도록 하는 내부 규정(처리방침 등)에도 불구하고, 탈퇴회원이 등록했던 배송지 정보(이름, 전화번호, 주소) 2,465,592건을 파기하지 않아 그 중 일부는 실제 유출로 이어지는 상황까지 초래되었고, 탈퇴회원의 계좌번호 318,499건도 즉시 파기하지 않은 사실이 확인되었다.
아울러, 회원 대상 문자·이메일 발송 등을 위해 회원 DB를 복사한 별도의 발송용 DB를 구축·운영하면서, 탈퇴 후 90일이 경과한 717,865명의 개인정보(이름, 전화번호, 이메일)를 발송용 DB에서 파기하지 않은 사실도 확인되었다.
마. 자료 폐기 등 조사 방해
개인정보위는 조사 착수 즉시 사고 관련 접속기록 등 각종 증거자료의 보전을 명령(’25.11.21.)하였음에도 쿠팡은 약 5개월 분량(‘24.7~11월)의 웹 접속 로그를 수동 삭제(’25.11.27.)하여 최초 유출 시점 등 유출 관련 사실관계 규명을 어렵게 하였고, 6개월 경과 시 삭제되는 자사의 로그 자동 삭제 정책을 중단하지 않아 어플리케이션 로그가 자동 삭제되어 유출 규모 및 피해 범위 확인을 어렵게 한 사실이 있다.
※ 자료보전 명령 이후 로그가 삭제된 기간(’25.5.25. ~ 6.2.) 동안 공격자의 배송지관리 페이지 접속횟수는 1,900만회로, 전체 접속횟수(1.4억회)의 약 13%에 해당하는 로그가 삭제되어 해당 기간 동안의 배송지 정보가 유출된 정보주체를 특정하지 못함
3. 처분 내용
개인정보위는 쿠팡이 국내 최대의 온라인 플랫폼 사업자이면서 인증 서명키를 안전하게 관리하지 않는 등 안전조치 의무를 소홀히 하여 대규모의 개인정보 유출을 초래한 행위에 대해 과징금 4,235억 7,500만 원을 부과하고, 개인정보 유출통지 및 파기 의무를 위반한 행위에 대해 과태료 1,680만 원을 부과하기로 결정하였다.
아울러, 유사사고 재발 방지를 위해 인증체계 전반에 대한 키 관리‧통제 체계 정비 및 접근통제 조치 등 안전조치를 강화하고, 유출된 배송지에 포함된 ‘회원이 아닌 정보주체’ 대상 유출통지 실시, 파기 정책 및 내부 거버넌스 체계 정비 등을 시정 명령하였다.
이 외에도 탈퇴회원의 개인정보가 목적 범위 내에서 최소한으로 보관·관리되도록 하고, 개인정보 처리방침을 실제 개인정보 처리 방식에 부합하도록 적시에 현행화 및 공개할 수 있도록 내부 체계를 개선할 것을 권고하였으며,
쿠팡이 운영 중인 홈페이지에 위와 같이 처분받은 사실을 공표하도록 명령하였고, 해당 사실을 개인정보위 홈페이지에도 공표할 예정이다.
쿠팡의 정보주체 권리 침해 관련
1. 타사 온라인 활동기록 무단 수집 관련
가. 관련 사실관계
쿠팡은 ’18. 7월부터 홈페이지·앱·블로그·광고지면 등을 보유하거나 운영하는 개인 또는 법인(이하 ‘광고 파트너’)이 쿠팡이 판매하는 상품을 광고 파트너의 매체를 통해 홍보하도록 하는 제휴 마케팅 프로그램인 ‘쿠팡 파트너스’를 운영하고 있다.
광고 파트너는 쿠팡이 배포하고 있는 다양한 광고 도구(링크, 배너, API 등)를 자신이 소유·운영하는 온라인 매체에 설치하여 쿠팡의 광고를 게재하고, 이를 통해 구매가 발생하는 경우 쿠팡으로부터 수익(구매 금액의 3%)을 공유받는다.
이 과정에서 쿠팡에 가입한 이용자가 쿠팡 광고가 게재되는 타사 웹사이트 및 앱(이하 ‘웹·앱’)을 방문하게 되면, 쿠팡은 이용자의 마케팅 동의 여부를 확인하고 이용자가 쿠팡에서 조회하거나 구매한 상품 등을 기반으로 관심, 기호 등을 분석하여 맞춤형 광고를 게재한다.
또한, 이용자가 해당 광고를 클릭하지 않더라도 이용자 기기의 식별자(이하 기기 식별자*) 및 타사 웹·앱을 방문·사용한 기록**(이하 ‘타사 온라인 활동기록’)을 수집하여 쿠팡의 광고 데이터베이스(이하 ‘광고 DB’)에 저장‧보관한다.
* 기기 식별자는 모바일 기기별 광고 식별자(Android : GAID / iOS : IDFA) 및 쿠팡이 부여한 인터넷 브라우저 식별자(쿠키: PCID)를 의미
** 타사 온라인 활동기록이란 정보주체가 타사 웹·앱에 방문한 기록으로, URL 또는 앱 명칭, 접속 경로, 접속 일시, 접속 IP·OS·브라우저, 언어, 화면 해상도 등으로 구성
나. 보호법 위반 사항 및 처분 내용
개인정보위 조사 결과, 쿠팡은 ’24. 12. 23.부터 ’26. 2. 4.까지 15,645,338개의 웹페이지(URL) 또는 앱을 방문·사용한 쿠팡 이용자 총 11,170,613명에 대한 타사 온라인 활동기록을 무단 수집·저장한 것으로 확인되었다.
※ 참고로, 쿠팡은 ’26. 4. 17. 위반행위 시정을 위해 동 기록을 삭제하고 이후에는 개인 식별 하의 타사 온라인 활동기록이 수집되지 않도록 조치함
쿠팡이 수집한 타사 온라인 활동기록은 기기 식별자 및 회원번호와 함께 광고 DB에 저장되어 있어 그 자체로도 개인 식별이 가능한 개인정보에 해당한다.
타사 온라인 활동기록은 여러 서비스와 웹·앱에 걸쳐 수집되어 개인의 관심사와 성향 등을 폭넓게 파악할 수 있고, 장기간 누적되는 경우 개인을 프로파일링하게 되거나, 경우에 따라서는 사상·신념·건강 등 민감정보의 추론 가능성도 있어 정보주체의 권리 침해 위험 가능성이 크다.
따라서, 타사 웹·앱에 맞춤형 광고를 게재하거나 온라인 활동기록을 수집·저장하기 위해서는 이용자에게 명확히 알리고 동의를 받는 등 개인정보 처리에 관한 결정권을 충분히 행사할 수 있도록 하여야 한다.
그러나, 쿠팡은 타사 웹·앱 공간에 맞춤형 광고를 게재하고 타사 온라인 활동기록을 수집·저장함에도 이용자로부터 동의받지 않았고, 개인정보 처리방침 및 맞춤형 광고 관련 안내 페이지 등에도 이를 명확히 알리지 않았다.
이에 개인정보위는 이용자의 동의와 같은 법적 근거 없이 무단으로 타사 온라인 활동기록을 수집하여 보호법 제15조(개인정보의 수집·이용)제1항을 위반한 쿠팡에 대해 과징금 2,011억 600만 원을 부과하기로 결정하였다.
아울러, 타사 웹·앱에서도 개인을 식별한 정보가 처리되어 맞춤형 광고가 게재될 수 있다는 사실을 이용자에게 명확히 고지하고, 마케팅 관련 개인정보 수집·이용 동의도 쉽게 철회할 수 있도록 할 것과, 사내 개인정보 처리 현황이나 보호법 준수와 관련한 내부적인 검토를 강화할 것을 내용으로 하는 시정조치와 함께 처분받은 사실을 쿠팡이 운영 중인 홈페이지에 공표할 것을 명하였다.
2. 납치광고 관리·감독 관련
쿠팡의 광고 파트너 중 일부는 지속적으로 ‘자신이 보유하거나 운영하는 온라인 매체에서 광고를 클릭하지 않아도 쿠팡 웹이나 앱으로 강제로 전환*되도록 하는 부정 광고’(이하 ‘납치광고’)를 게재하여, 이용자가 원치 않았음에도 쿠팡 웹·앱에 접속하도록 함에 따라 관련 온라인 활동기록이 쿠팡에 수집되도록 하였다.
* (사례1)투명 버튼으로 화면 전체를 덮고 있어, 광고 닫기(’X‘)를 클릭해도 쿠팡으로 전환
(사례2)쿠팡 광고가 게재되는 웹‧앱 접속시 3초 후 자동으로 쿠팡으로 전환
쿠팡은 ’22년 8월부터 제보 등을 통해 이러한 납치 광고를 최초 인지하여, 적발을 위한 신고 제도 및 탐지 시스템을 운영 중이고, 적발 시 이용약관이나 운영정책 등에 따라 제재한다고
그러나 개인정보위 조사 결과, 쿠팡은 스스로 정한 정책상의 계정 해지 기준에 해당함에도 일부 광고 파트너에 대하여 계정 해지 등 불이익을 적용하지 않고, 오히려 추가 수수료율을 적용하는 등 적절히 제재하지 않은 사실이 드러났다.
이용자 의사에 반하는 쿠팡 웹·앱 접속을 통해 원치 않는 데이터가 수집되지 않도록 쿠팡이 광고 파트너에 대한 관리·감독을 이행할 책임이 있음에도, 이를 소홀히 한 행위는 ‘최소한’의 개인정보만을 ‘적법하고 정당하게’ 수집하도록 한 보호법 제3조(개인정보 보호 원칙)제1항 위반에 해당한다.
이에 개인정보위는 쿠팡에 대하여 국민 불편, 권익 침해 등이 초래되지 않도록 부정 광고를 게재한 광고 파트너에 대한 엄격한 제재 등 관리·감독을 강화할 것을 시정명령하였다.
쿠팡풀필먼트서비스(이하 ‘CFS’)의 정보주체 권리 침해 관련
1. 법적 근거 없는 경찰청 출입기자 개인정보 수집·이용 관련
CFS는 쿠팡의 물류센터 자회사로, 전국의 86개 물류센터에서 연간 약 40만 명의 계약직·일용직 등 임직원을 상시 채용하고 있다. 이 과정에서 ’17년부터 현재까지 사업장의 안전 및 질서를 유지하기 위해 임직원의 개인정보를 수집·이용하고 있다.
예를 들어, 채용된 임직원이 물류센터 근무 과정에서 비위행위를 한 경우, 내부 평가·검토 절차를 거쳐 취업제한 목록에 해당 임직원을 등록함으로써 물류센터의 재취업을 제한하고 있었다.
개인정보위 조사 결과, CFS는 ’23. 9월부터 ’24. 2월까지 물류센터에 근무한 이력이 없음에도 경찰청 출입 기자 71명을 ‘허위사실유포’ 사유로 취업제한 목록에 등록하였고, 등록 과정에서 별도로 해당 정보주체의 동의를 받거나, 등록 사실을 알린 바는 없었다.
이에, 개인정보위는 정보주체의 동의 등 적법근거 없이 개인정보를 무단으로 수집하여 취업제한 목록에 등록한 행위에 대해 보호법 제15조(개인정보의 수집·이용)제1항 위반으로 과징금 2억 2,000만 원을 부과하였다.
2. 법적 근거 없는 임직원 민감정보 이용·제공 관련
CFS는 ‘임직원 건강관리’를 목적으로, ‘건강검진 결과의 제공에 동의’한 임직원에 한하여 해당 결과를 건강검진기관으로부터 정기적으로 제공받고 있다.
개인정보위 조사 결과, CFS는 ’24. 3월 소송 과정에서 건강상 쟁점을 반증하기 위한 목적으로 임직원 80명의 체중 수치 분석 자료 등을 법원에 제출한 사실이 있다.
※ 제출 항목: 80명의 고용형태, 일부 마스킹한 로그인 아이디, ’21년~’23년간 체중 수치
CFS가 ‘임직원 건강 관리’를 목적으로 제공받은 임직원의 체중정보를 ‘소송상 방어권 행사’를 위해 법원에 제출한 행위에 대해 별도 동의나 법령상 근거 없이 민감정보를 처리한 행위로 판단하여, 보호법 제23조(민감정보의 처리 제한)제1항 위반으로 과징금 2,800만 원을 부과하였다.
이번 조사·처분의 의의
이번 처분에 앞서 개인정보위는 조사 결과 및 처분 방향에 대해 위원들간 충실한 논의 및 의견수렴을 위해 수 차례의 사전 검토회의를 거쳤다.
개인정보위는 6월 10일 10:00 전체회의를 개최하였고, 사업자가 출석해 의견을 충분히 개진할 수 있도록 하였으며, 질의·응답 등 장시간 논의를 거쳐 23:30경 최종 처분안을 확정하였다.
이번 조사·처분을 통해 개인정보위는 국내 소비자의 소중한 개인정보를 다루는 기업이라면 국·내외 기업을 막론하고 동일한 기준과 엄격한 법적 책임이 적용되어야 한다는 원칙을 다시 한번 명확히 하였다.
또한, 대규모의 개인정보를 다루는 플랫폼 기업의 기본적인 안전조치 소홀과 개인정보 자기결정권 침해 행위에 대해 그에 상응하는 책임이 따른다는 점을 분명히 하였다.
송경희 개인정보위 위원장은 “이번 처분이 국민 생활과 밀접한 온라인 플랫폼 전반의 보안 투자 확대와 내부 통제 강화를 유도하는 계기가 되기를 바라며, 개인정보위도 플랫폼 내에서 국민의 개인정보를 안전하게 보호하고 이용할 수 있는 환경을 마련하기 위해 더욱 노력하겠다”라고 밝혔다.
|
사업자명
|
위반 내용
|
위반 조항
|
시정조치(안)
|
|
쿠팡 주식회사
(유출 관련) |
⦁안전조치의무(인증수단 관리, 접근통제)
⦁개인정보 유출 등의 통지·신고 ⦁개인정보 파기 ⦁개인정보 보호책임자의 독립적 업무수행 보장 ⦁로그 삭제 등 증거자료폐기 |
보호법
§29 §34① §21① §31⑥ §63② |
⦁과징금
4,235억 7,500만 원 ⦁과태료 1,680만 원 ⦁시정명령 ⦁결과공표 ⦁공표명령 ⦁개선권고 ⦁고발 |
|
쿠팡 주식회사
(침해 관련) |
• 법적 근거 없이 개인정보를 수집·이용한 행위
• 이용자 의사에 반하여 서비스 접속·이용기록이 수집되지 않도록 광고 파트너를 관리·감독하지 않은 행위 |
보호법
§15① §3① |
⦁과징금
2,011억 600만 원 ⦁시정명령 ⦁공표명령 |
|
쿠팡풀필먼트서비스
유한회사 |
⦁법적 근거 없이 정보주체의 개인정보를 수집·이용한 행위
⦁법적 근거 없이 정보주체의 민감정보를 처리한 행위 |
보호법
§15①, §23① |
⦁과징금 2억 4,800만원
|
https://blog.naver.com/songpha69/224312901537
쿠팡 과징금 6246억 부과...3,755만명 개인정보 유출
개인정보위, 쿠팡 및 계열사의개인정보 유출 및 침해 제재처분 의결 2026. 6. 11 - 쿠팡의 안전조치 의무 ...
blog.naver.com
#송파박, #송파박내부통제, #송파박생활경제, #송파박생활금융, #송파박생활법률, #송파박컴플라이언스, #송파박유튜브, #송파박TV, #내부통제, #컴플라이언스
'경제' 카테고리의 다른 글
| 쿠팡, ‘와우회원가’ 기만광고...1회성을 상시인 것처럼 (0) | 2026.06.11 |
|---|---|
| 대주주 특수관계인에 대한 질권 설정 (0) | 2026.06.11 |
| 영풍·고려아연 회계처리 위반 (0) | 2026.06.11 |
| '개인정보 유출' 쿠팡 과징금 6246억 원‥역대 최대 (0) | 2026.06.11 |
| 손해보험협회 홈페이지 (0) | 2026.06.11 |