한국 정부가 전자상거래 대기업 쿠팡에 지난해 발생한 대규모 고객 정보 유출 및 개인정보 불법 수집 혐의로 6,250억 원(약 4억 930만 달러)의 과징금을 부과할 예정이다. 이는 기업에 부과된 개인정보 유출 관련 과징금 중 국내 역대 최대 규모다.

개인정보보호위원회는 뉴욕증시 상장 기업인 쿠팡이 3,300만 명 이상의 고객 개인정보를 유출했으며, 법적 의무 기한인 72시간 이내에 유출 사실을 감지하지 못했다고 밝혔다.

로이터 통신의 계산에 따르면, 이번 과징금은 쿠팡의 2025년 매출액인 45조 원의 1.4%에 해당하는 금액이다.

"이번 사고는 정교한 해킹 때문이 아니라 쿠팡의 안전 조치 및 시스템 미비로 인해 발생했다"고 송경희 개인정보보호위원회 위원장이 목요일 브리핑에서 말했다.

과징금 처분이 발표된 후, 쿠팡은 국민과 고객들에게 심려를 끼쳐드린 점에 대해 사과했다.

그러나 쿠팡 측은 "지난해 개인정보 유출 사고로 인한 2차 피해를 방지하기 위한 당사의 선제적 조치와 명확한 사실에 기반한 설명이 규제 당국의 결정에 충분히 반영되지 않은 점은 유감스럽다"고 밝혔다.

미국 시애틀에 본사를 둔 쿠팡은 식료품, 음식 및 기타 상품의 빠른 배송 서비스를 제공하며 매출의 대부분을 한국에서 올리고 있다.

이번 제재는 올해 초 정부 주도 조사에서 유출 사고의 원인이 관리 부실에 있다는 결과가 나온 데 따른 것이다.

당시 한국 과학기술정보통신부는 중국 국적의 전직 직원이 보안 키를 훔쳐 고객 계정에 무단 접속했다고 발표했다.

송 위원장은 해당 용의자가 퇴사한 후에도 쿠팡의 보안 시스템 취약성으로 인해 해커가 모든 고객의 개인정보에 쉽게 접근할 수 있는 상태였다고 설명했다.

또한, 쿠팡은 한 고객의 문의를 받기 전까지 고객 데이터 트래픽의 비정상적인 증가를 감지하지 못했다고 덧붙였다.

이와 별도로, 개인정보보호위원회는 쿠팡의 마케팅 프로그램이 고객 동의 없이 약 1,100만 명의 온라인 활동 정보를 불법 수집한 사실을 확인했다고 송 위원장은 전했다.

이번 개인정보 유출 조사는 한미 양국이 지난해 체결된 무역 협정의 세부 사항을 협상하는 과정에서, 한국 당국이 미국 상장 기업에 대해 과도한 처분을 내렸다는 우려가 제기되며 워싱턴과의 무역 마찰을 심화시켰다.

그러나 한국 정부는 쿠팡에 대한 조사가 무역이나 안보 문제가 아니며, 워싱턴과의 진행 중인 협상과는 별개로 다루어져야 한다는 입장을 밝혔다.

서울 소재 IM증권에 따르면, 쿠팡은 한국 물류 서비스 시장의 약 40%를 점유하고 있는 것으로 추정되며, 이는 업계 최대 규모다.

"쿠팡은 방대한 고객 데이터를 기반으로 전자상거래 서비스를 크게 성장시켰다"며 "그러나 기업 규모에 걸맞은 고객 정보 보호 및 관리 시스템을 갖추지 못했다"고 송 위원장은 지적했다.