개인정보보호위원회(개인정보위)는 쿠팡의 개인정보 유출 및 개인정보 침해 행위에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하고 시정명령과 공표명령, 고발 및 개선권고를 의결했다고 11일 밝혔다.

개인정보위는 쿠팡이 인증 서명키 관리와 접근통제 등 안전조치 의무를 소홀히 해 약 3750만명의 개인정보가 유출된 것으로 판단했다. 조사 결과 쿠팡은 개인정보 유출 통지 의무와 파기 의무를 위반했고 개인정보보호책임자(CPO)의 독립성 보장 의무를 준수하지 않은 것으로 나타났다.

이에 개인정보위는 안전조치 강화와 정보주체 대상 유출 통지, 개인정보보호책임자의 실질적 역할 보장 등을 시정명령으로 부과했다. 아울러 탈퇴회원 개인정보 처리 체계 개선도 권고했다.

개인정보위는 쿠팡의 온라인 광고 사업 과정에서 발생한 개인정보 침해 행위도 적발했다. 조사 결과 쿠팡은 타사 웹사이트와 애플리케이션에 접속한 회원 약 1117만명의 온라인 활동기록을 수집해 이용자를 식별할 수 있는 상태로 데이터베이스(DB)에 저장한 것으로 확인됐다. 수집 정보에는 방문기록(URL·앱명), 접속 일시, 접속 IP 등이 포함됐다.

그 외에 쿠팡은 부정광고(납치광고)를 게재하는 광고 파트너에 대한 관리·감독을 제대로 하지 않아 이용자 의사와 무관하게 쿠팡 서비스 이용기록이 수집되도록 한 것으로 조사됐다. 이에 개인정보위는 개인정보 처리의 투명성 제고와 맞춤형 광고에 대한 이용자 선택권 보장, 광고 파트너 관리·감독 강화 등을 명령했다.

계열사인 쿠팡풀필먼트서비스(CFS)에 대한 제재도 함께 결정됐다. 개인정보위는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자단 명단 71명을 수집해 취업제한 목록으로 관리한 행위를 개인정보 수집·이용 위반으로 판단했다. 또한 임직원 건강관리 목적으로 보유한 근로자 체중정보를 산업재해 관련 소송 과정에서 법원에 제출한 행위는 민감정보 처리 제한 규정 위반으로 봤다. 이에 개인정보위는 CFS에 과징금 2억4800만원을 부과했다.

개인정보위는 쿠팡과 CFS에 대해 관련 시정조치 이행 결과를 3개월 내 제출하도록 하고 후속 점검을 진행할 계획이다.