"개인정보위"에 대한 통합검색 결과
통합검색(32)
경제(11)
검색결과 총 32건
개인정보위, 쿠팡에 과징금 6,246억원 부과 개인정보보호위원회가 대규모 개인정보 유출과 이용자 온라인 활동기록 무단 수집 사실이 확인된 쿠팡에 총 6,246억8,100만원의 과징금을 부과했다. 개인정보 유출 사고와 개인정보 처리 위반을 포함한 단일 기업 제재로는 역대 최대 규모다.개인정보위는 지난 10일 전체회의를 열고 쿠팡의 개인정보보호법 위반 행위에 대해 과징금과 과태료 부과를 의결했다고 11일 밝혔다. 3,750만명 개인정보 유출개인정보위 조사 결과 쿠팡은 인증 서명키 관리와 접근통제 등 기본적인 보안 체계를 제대로 운영하지 못해 약 3,750만명의 개인정보가 유출된 것으로 확인됐다.이에 따라 개인정보위는 개인정보 유출 사고와 관련해 과징금 4,235억7,500만원과 과태료 1,680만원을 부과했다.조사 과정에서는 개인정보 유출 통지 의무 위반, 개인정보 파기 의무 위반, 개인정보보호책임자(CPO) 독립성 보장 미흡, 조사 방해 행위 등도 추가로 확인됐다.개인정보위는 보안 체계 강화와 재발 방지 대책 마련, 유출 피해자 통지, 개인정보보호책임자 권한 보장 등을 포함한 시정명령도 함께 내렸다. 1,117만명 온라인 활동기록 무단 수집개인정보위는 별도로 쿠팡이 회원 약 1,117만명의 온라인 활동기록을 적법한 근거 없이 수집한 사실도 확인했다.수집된 정보에는 타사 웹사이트 및 앱 방문 기록(URL·앱명), 접속 시각, 접속 IP 주소 등이 포함됐다.쿠팡은 이 정보를 이용자 개인을 식별할 수 있는 상태로 데이터베이스에 저장·관리한 것으로 조사됐다.이에 개인정보위는 관련 위반 행위에 대해 추가로 과징금 2,011억660만원을 부과했다. '납치광고' 관리 소홀도 지적조사 과정에서는 이른바 '납치광고'를 게재하는 광고 파트너에 대한 관리·감독이 부실했던 사실도 드러났다.개인정보위는 일부 이용자의 의사와 무관하게 쿠팡 서비스 이용기록이 수집된 사실을 확인하고 광고 운영 과정의 투명성 강화와 이용자 선택권 보장을 시정명령에 포함했다. 경찰 출입기자 명단 관리·체중정보 활용도 적발쿠팡 물류 자회사인 쿠팡풀필먼트서비스(CFS)에 대해서도 별도 제재가 이뤄졌다.개인정보위는 CFS가 물류센터 근무 이력이 없는 경찰청 출입기자단 71명의 명단을 수집해 취업제한 대상자로 관리한 행위가 개인정보 수집·이용 규정을 위반했다고 판단했다.또 근로자 건강관리를 목적으로 수집한 체중 정보를 산업재해 소송 과정에서 법원에 제출한 행위도 민감정보 처리 위반으로 보고 과징금 2억4,800만원을 부과했다.이번 결정으로 쿠팡은 개인정보 유출 4,236억원, 온라인 활동기록 무단 수집 2,011억원 등 총 6,246억원 규모의 과징금을 부담하게 됐다. 
2026.06.11
개인정보위, 쿠팡 제재안 심의 착수 개인정보보호위원회가 10일 쿠팡의 대규모 개인정보 유출 사고에 대한 제재 수위를 결정한다. 유출 사실이 공개된 지 약 7개월 만으로, 개인정보보호법 위반에 따른 역대 최대 규모의 과징금이 부과될 가능성에 관심이 쏠리고 있다.개인정보위는 이날 정부서울청사에서 전체회의를 열고 쿠팡 개인정보 유출 사건에 대한 제재안을 심의한다.이번 사건은 지난해 11월 쿠팡 이용자 개인정보 유출 사실이 알려진 이후 진행된 조사 결과에 따른 후속 조치다. 3,367만건 유출 확인앞서 과학기술정보통신부 민관합동조사단은 올해 2월 조사 결과를 발표하며 쿠팡 ‘내 정보 수정 페이지’의 보안 취약점을 통해 이용자 성명과 이메일 주소 등이 포함된 개인정보 3,367만건이 유출된 것으로 확인됐다고 밝혔다.개인정보위는 지난 4월 쿠팡에 개인정보보호법 위반 사항과 예정 처분 내용을 담은 사전통지서를 발송했다. 이후 쿠팡 측은 의견 제출 기한 연장을 요청한 뒤 소명서를 제출했다.쿠팡은 제출한 의견서에서 개인정보위의 판단에 대해 상당 부분 동의하기 어렵다는 입장을 밝힌 것으로 전해졌다. 과징금 규모 최대 관심사업계에서는 유출 규모와 사회적 파장을 고려할 때 개인정보위가 역대 최고 수준의 과징금을 부과할 수 있다는 전망을 내놓고 있다.현행 개인정보보호법은 개인정보 유출 사고가 발생할 경우 관련 매출액의 최대 3% 범위에서 과징금을 부과할 수 있도록 규정하고 있다.쿠팡이 공시한 지난해 매출은 약 45조5천억원이다. 단순 계산상 법정 최대 과징금 규모는 1조3천637억원에 달한다.다만 실제 과징금은 위반 행위와 관련된 매출 범위, 보안조치 수준, 사고 대응 과정, 감경 및 가중 요소 등을 종합적으로 반영해 산정된다. 징벌적 과징금은 적용 제외현재까지 개인정보위가 부과한 가장 큰 과징금은 지난해 SK텔레콤 개인정보 유출 사고에 대해 결정한 1,348억원이다.최근 국회를 통과한 개인정보보호법 개정안에는 고의 또는 중대한 과실로 대규모 개인정보 유출이 발생한 경우 관련 매출의 최대 10%까지 부과할 수 있는 징벌적 과징금 제도가 담겼다.다만 해당 제도는 오는 9월 시행 예정으로, 지난해 발생한 쿠팡 개인정보 유출 사건에는 소급 적용되지 않는다.개인정보위는 이날 심의를 통해 위반 사실과 책임 정도를 최종 판단한 뒤 과징금 규모와 시정명령 여부를 결정할 예정이다.
2026.06.10
개인정보 유출 과징금 더 무거워진다…‘매출 큰 기업’ 부담 확대 대규모 개인정보 유출 사고를 일으킨 기업에 대한 제재 수위가 한층 강화된다. 앞으로는 중대한 개인정보보호법 위반에 대해 과징금 감경이 제한될 수 있고, 매출이 빠르게 증가한 플랫폼·IT 기업에는 더 강화된 기준으로 과징금이 부과된다.개인정보보호위원회는 18일 개인정보 보호법 시행령 일부개정령안과 ‘개인정보 보호법 위반에 대한 과징금 부과 기준’ 개정안이 오는 19일부터 시행된다고 밝혔다.이번 개정은 개인정보 유출 사고에 대한 제재 실효성을 높이고, 기업 규모와 경제력에 맞는 과징금 부과 체계를 마련하는 데 초점이 맞춰졌다. ‘매우 중대한 위반’ 감경 제한 가능개정안의 핵심은 중대한 개인정보 침해 사건에 대한 감경제한이다.현행 기준은 조사 협조, 자율 보호 활동 등 일정 요건이 인정되면 과징금을 감경할 수 있도록 하고 있다. 그러나 대규모 정보 유출이나 장기간 법 위반처럼 피해 규모가 큰 사건에도 일률적으로 감경이 적용된다는 비판이 이어져왔다.개정안은 위반행위의 중대성이 ‘매우 중대한 위반행위’에 해당할 경우 과징금 감경의 전부 또는 일부를 적용하지 않을 수 있도록 했다.개인정보위는 기업이 사후 대응보다 사전 예방에 더 적극적으로 투자하도록 유도하겠다는 취지라고 설명했다. 매출 급성장 플랫폼 기업 겨냥한 산정 방식 개편과징금 산정 기준도 강화된다.기존에는 ‘위반행위가 있었던 사업연도의 직전 3개 사업연도 평균 매출액’을 기준으로 과징금을 산정했다.하지만 플랫폼·IT 기업처럼 단기간에 매출이 급증한 기업은 실제 경제 규모보다 낮은 기준으로 과징금이 책정된다는 지적이 제기돼왔다.개정 시행령은 앞으로 ‘직전 사업연도 매출액’과 ‘최근 3개 사업연도 연평균 매출액’ 가운데 더 큰 금액을 기준으로 과징금을 산정하도록 했다.이에 따라 최근 성장세가 큰 플랫폼 기업일수록 과징금 부담이 커질 가능성이 높아졌다. 쿠팡·KT 기존 사건에는 적용 제외다만 이번 개정안은 시행 이후 발생한 위반행위부터 적용된다.행정기본법상 소급 적용이 제한되기 때문에 현재 조사 중인 쿠팡이나 KT 개인정보 유출 사건에는 기존 기준이 유지된다.개인정보위는 “기업의 현재 경제력과 위반행위의 중대성에 상응하는 수준으로 과징금을 부과해 개인정보 침해에 보다 엄정하게 대응하겠다”고 밝혔다.최근 AI 서비스와 플랫폼 산업 확대로 개인정보 처리 규모가 급격히 커지는 상황에서, 기업의 보안 투자와 내부 통제 책임도 한층 무거워질 전망이다.
2026.05.18
‘개인정보 유출’ 디올·티파니·루이비통에 과징금 360억원 개인정보보호위원회가 개인정보 유출 사고를 낸 명품 브랜드 판매 사업자 3곳에 총 360억3천300만원의 과징금과 1천80만원의 과태료를 부과했다.12일 개인정보위에 따르면 전날 전체회의를 열고 루이비통코리아, 크리스챤디올꾸뛰르코리아, 티파니코리아에 대한 제재를 의결하고, 각 사 누리집에 처분 사실을 공표하도록 명령했다. SaaS 기반 고객관리 시스템서 유출조사 결과 3개 사업자는 모두 서비스형 소프트웨어(SaaS) 기반 고객관리 시스템을 사용하는 과정에서 보안 조치가 미흡해 개인정보가 유출된 것으로 나타났다.루이비통코리아는 직원 기기가 악성코드에 감염되면서 SaaS 계정 정보가 탈취돼 약 360만명의 이름·성별·국가·전화번호·이메일·생년월일 등이 세 차례에 걸쳐 유출됐다. 회사는 2013년부터 SaaS를 운영하면서 IP 주소 제한이나 안전한 인증수단을 적용하지 않은 것으로 확인됐다. 이에 따라 213억8천500만원의 과징금이 부과됐다.디올과 티파니는 직원이 보이스피싱에 속아 해커에게 SaaS 접근 권한을 부여하면서 각각 약 195만명, 4천600명의 개인정보가 유출됐다. 디올은 이름·성별·생년월일·나이·이메일·전화번호가, 티파니는 이름·주소·이메일·내부 고객기록번호 등이 포함됐다. 접속기록 점검 미흡·통지 지연도 제재 사유두 회사 모두 IP 제한과 대량 다운로드 통제를 하지 않았고, 디올은 월 1회 이상 접속기록을 점검하지 않아 3개월 넘게 유출 사실을 파악하지 못한 것으로 조사됐다. 또 두 회사 모두 유출 인지 후 72시간을 넘겨 이용자에게 통지했으며, 티파니는 신고도 지연했다.이에 개인정보위는 디올에 과징금 122억3천600만원과 과태료 360만원을, 티파니에 과징금 24억1천200만원과 과태료 720만원을 각각 부과했다.개인정보위는 SaaS 도입이 확산되는 상황에서 접근 권한 최소화, IP 제한, 일회용 비밀번호 등 안전한 인증수단 적용이 필수라고 강조했다. 서비스형 소프트웨어를 사용하더라도 개인정보 보호 책임은 기업에 있다는 점을 분명히 했다.
2026.02.12
과실 없어도 개인정보 유출 시 손배책임…면책사유 대폭 제한 더불어민주당과 개인정보보호위원회는 4일 기업 등의 개인정보 유출 사고와 관련해 과실 여부와 관계없이 법정 손해배상 책임을 강화하는 방향으로 개인정보보호법 개정을 추진하기로 했다. 유출 기업이 조사에 비협조하거나 시정명령을 이행하지 않을 경우 이행강제금을 부과하는 방안도 포함된다.이날 국회에서 열린 당정협의는 최근 SK텔레콤, 쿠팡, LG유플러스, 서울시 공공자전거 ‘따릉이’ 등에서 대규모 개인정보 유출 사고가 잇따르며 국민적 불안이 커진 상황을 반영해 마련됐다. ‘고의·과실’ 요건 삭제…입증책임 기업에현행 개인정보보호법은 개인정보 유출 피해자가 손해액을 입증하지 않더라도 법원이 배상액을 정할 수 있도록 하고 있다. 다만 기업이 고의 또는 과실이 없음을 입증할 경우 손해배상 책임을 면할 수 있다.당정은 이 법정 손해배상 규정에서 ‘고의 또는 과실’ 요건을 삭제해, 기업이 원칙적으로 입증 책임을 지도록 할 방침이다. 개인정보 처리자가 모든 안전조치 의무를 이행했고 귀책 사유와 책임이 없음을 모두 입증한 경우에만 면책을 허용하는 방식으로 면책 사유를 극히 제한한다는 구상이다.개인정보위 관계자는 “사업자 책임성을 대폭 강화하는 내용”이라며 “유출 사고에 대한 법적 책임 구조를 근본적으로 전환하는 취지”라고 설명했다. 개인정보 불법 유통 형벌 규정 신설당정은 해킹 등을 통해 유출된 개인정보가 다크웹 등에서 거래되며 2차 범죄로 이어지는 현실을 고려해, 유출된 개인정보임을 알면서도 이를 구매·제공·유포하는 행위를 금지하는 형벌 규정을 개인정보보호법에 신설하기로 했다.이는 단순 유출 대응을 넘어, 유출 이후의 불법 유통과 재범죄 고리를 차단하겠다는 입법적 대응이다. 조사 비협조 시 강제금…증거보존 명령 도입개인정보 유출 사고 발생 시 신속하고 실효성 있는 조사를 위해 기업의 조사 비협조나 시정명령 불이행에 대해 이행강제금을 부과하는 제도도 도입된다. 접속기록 등 핵심 증거의 인멸을 막기 위한 증거보존 명령 제도도 함께 추진된다.대규모 개인정보 처리자를 대상으로 한 정기 실태 점검과, 피해 확산을 즉각 차단하기 위한 ‘긴급 보호조치 명령’ 도입 방안도 논의됐다.박상혁 더불어민주당 정책위 사회수석부의장은 “그동안 반복된 사고에도 정부 조치를 강제할 근거가 부족했다”며 “입법을 통해 실질적인 제재 수단을 갖추게 될 것”이라고 밝혔다.
2026.02.04
범정부TF "쿠팡에 강력 경고…신속·엄정한 조사로 철저 대응" 정부가 쿠팡 개인정보 유출 사고에 대한 대응에 강력한 경고 신호를 보냈다. 정부는 29일 배경훈 과학기술 부총리 주재로 '쿠팡 사태 범정부TF' 회의를 개최했다고 밝혔다. 이번 TF 회의에는 배 부총리를 팀장으로 개인정보위와 경찰청, 고용노동부, 공정거래위원회, 국세청, 국토교통부, 국가정보원, 금융위원회, 방송미디어통신위원회, 외교부, 중소벤처기업부 관계자가 참석했다. 이 회의에서는 쿠팡 침해사고와 개인정보 유출 사고에 대한 쿠팡 대응을 강력하게 경고하고 전방위적·종합적 대응에 나서기로 의견이 모였다. 정부는 이번 쿠팡 사태를 단순한 기업 내부의 문제로만 보지 않고 디지털 플랫폼 시대의 개인정보 보호, 플랫폼의 책임성, 노동자 안전, 공정한 시장 질서, 물류·유통 전반의 법 준수와 직결된 중대한 사안으로 판단했다. 따라서 이번 사태에 대해 한 치의 의혹도 남기지 않겠다는 각오로 엄정하게 조사·대응해 나갈 방침이라고 전했다. 먼저 과기정통부와 경찰청, 개인정보위, 금융위 등 조사기관들은 각각 역할을 분담해 신속히 조사하기로 했다. 과기정통부는 사고원인과 쿠팡 보안 문제점을, 개인정보위는 개인정보 유출 규모·범위와 개인정보보호법 위반 여부를, 금융위는 부정 결제 가능성·고금리 대출 관행 등을, 경찰청은 압수물 분석, 국제 공조 통한 피의자 검거에 주력하기로 했다. 공정위는 정보 도용 여부와 소비자의 재산상 손해 발생 우려, 쿠팡의 피해 복구 조치 등을 고려해 영업정지 여부를 판단할 계획이다. 공정위와 방미통위는 복잡한 쿠팡 탈퇴 절차에 대해 전자상거래법 및 전기통신사업법상 금지 행위에 해당하는지를 조사하고 있다. 고용부는 쿠팡의 야간 노동·건강권 보호조치 실태를 점검하고, 국토부는 쿠팡 종사자 보호를 위해 국회 을지로위원회와 합의안을 빠른 시일 내 마련키로 했다. 배경훈 부총리는 "쿠팡이 국내 고객 정보 3천만건 이상을 유출한 것은 명백한 국내법 위반 사항으로, 정부는 쿠팡이 관련 법령을 위반한 사실이 확인될 경우 다른 기업과 동일하게 법과 원칙에 따라 엄정하게 조치할 것"이라고 말했다. 또 "범정부가 하나의 팀으로 움직여 단 하나의 의혹도 남기지 않고 국민이 안심할 수 있도록 끝까지 철저히 대응하겠다"고 강조했다.
2025.12.29
이 대통령 “규정 위반하면 회사가 망할 정도로 제재해야”, 집단소송제 필요성 강조 이재명 대통령이 반복되는 개인정보 유출 사태를 두고 “경제 제재가 약하다 보니 규정 위반이 일상처럼 이뤄진다”고 강하게 비판했다. 이재명 대통령은 “국민에게 피해를 주면 회사가 문을 닫을 수 있다는 인식이 들 정도로 강력한 제재가 필요하다”고 밝혔다. “지금은 위반하고도 ‘뭐 어쩔 건데’라는 태도”세종컨벤션센터에서 열린 개인정보보호위원회 업무보고 자리에서 이 대통령은 “원래 이런 규정을 위반하면 난리가 나야 한다”며 현행 제재 수준이 억지력으로 기능하지 못하고 있다고 지적했다.현재 개인정보 유출에 대한 과징금은 직전 3개년 평균 매출액의 최대 3%까지 부과할 수 있다. 이에 대해 이 대통령은 “시행령을 고쳐 3년 중 최고 매출액을 기준으로 3%를 산정해야 한다”고 제안했다. 개인정보위 “반복·중대 위반에는 매출 10% 과징금 추진”송경희 개인정보보호위원장은 “고의 또는 중대한 반복 위반에 대해 최대 매출액의 10%까지 과징금을 부과하는 방안을 준비하고 있다”고 보고했다. 잇따른 대규모 유출 사고와 AI 기반 데이터 처리 확대로 정책 환경이 변한 점을 고려한 조치다. 집단소송제 보완 필요성 강조이 대통령은 집단소송제 실효성도 강화해야 한다고 말했다. 현행 단체소송은 금지 청구만 가능해 손해배상 청구가 불가하다. 이 대통령은 “전 국민이 피해자인 사건에서 개별 소송을 하라고 하면 소송비가 더 들지 않겠느냐”며 입법 속도를 주문했다. 대규모 피해 구제에 대한 요구 커지는 가운데…뉴욕에서 진행 중인 ‘쿠팡 개인정보 유출’ 소송도 주목최근 쿠팡 개인정보 유출 사태와 관련해 법무법인(유한) 대륜의 뉴욕 현지 협력 로펌 SJKP LLP 가 주도하는 집단 소송 절차가 본격화되고 있다. 미국 내 피해자 보호 규정이 한국보다 강한 만큼, 이번 해외 소송은 글로벌 IT·유통 플랫폼의 개인정보 관리 책임을 새롭게 규정하는 계기가 될 것이라는 평가가 나온다.대륜은 미국 SJKP LLP와 협력해 피해자 범위를 확장하고, 유출 규모·관리 책임·사후 대응의 적정성을 다각도로 문제 삼고 있다. 이번 소송은 단순한 손해배상 청구를 넘어 기업의 데이터 관리 의무를 국제 기준으로 끌어올리는 상징적 사건으로 주목받고 있다.한국 정부가 제도 개선을 추진하는 상황에서 해외 소송이 병행되는 만큼, 국내외 법적 압박이 향후 개인정보 정책 전반에 영향을 미칠 가능성도 제기된다.
2025.12.12
개인정보위, ‘매출 최대 10%’ 징벌적 과징금 추진…CEO 법적 책임도 명문화 개인정보보호위원회가 반복적이거나 중대한 개인정보 보호법 위반에 대해 전체 매출액의 최대 10%까지 부과할 수 있는 징벌적 과징금 제도를 추진한다. 최근 쿠팡, SKT·KT 등 국민 생활과 밀접한 기업들의 대규모 유출 사고가 이어지면서 기존 사후 규제 중심 체계를 근본적으로 손보겠다는 방침이다. 징벌적 과징금 상한 ‘3%→10%’…중소기업엔 기존 기준 유지개인정보위는 12일 대통령 업무보고에서 제재 체계 강화 방안을 공개했다. 고의·중과실 여부와 피해 규모 등 요건을 충족할 경우 과징금 상한을 매출액 3%에서 최대 10%까지 높이는 것이 골자다. 다만 중소기업의 부담을 고려해 기존 3% 상한은 유지한다.위원회는 “AI·클라우드 확산으로 개인정보 위험이 커진 만큼 억지력을 확보해야 한다”고 강조했다. 단체소송에 손해배상 포함…국민 구제 실효성 확대현재 개인정보보호법상 단체소송은 ‘침해행위 금지’만 청구할 수 있다. 앞으로는 손해배상 청구가 가능해져 피해자 구제가 실질적으로 강화된다.소비자 단체 등 공익단체가 피해자를 대신해 소송을 수행할 수 있도록 분쟁조정과 연계해 부담을 낮추는 방안도 추진된다.또한 과징금과 과태료 등을 피해 회복에 활용하는 ‘개인정보 피해회복 지원 기금’ 신설도 검토된다. 피해회복형 동의의결제·ISMS-P 관리 강화기업이 유출 사고 후 자발적으로 시정 방안을 제시하고 이를 신속히 확정해 피해 회복을 앞당기는 ‘동의의결 제도’가 새로 도입된다.정보보호·개인정보보호 관리체계(ISMS-P)에 대해서는 예비심사 도입, 기술심사 강화 등 사후 관리가 대폭 강화된다. 중대·반복 위반이 확인되면 원칙적으로 인증을 취소한다. CEO 관리의무 법제화…CPO 신고제 확대대표자(CEO)를 개인정보 보호의 최종 책임자로 명확히 규정하는 조항이 법에 반영된다. 대규모·민감정보를 처리하는 기관에는 개인정보보호책임자(CPO) 지정·신고를 의무화할 예정이다.위원회는 기업 규모와 처리 위험도에 따라 책임을 차등 적용하고, 자발적 보호 투자 기업에는 과징금 감경 등 인센티브도 제공할 계획이다.
2025.12.12
개인정보위, 쿠팡에 약관·탈퇴 절차 개선 요구 제3자 불법 접속 면책조항 문제 제기개인정보보호위원회가 대규모 개인정보 유출 사고 이후 쿠팡의 이용약관과 탈퇴 절차 운영 방식에 대한 점검 결과를 내놓았다. 개인정보위는 쿠팡이 지난해 11월 약관에 신설한 ‘서버에 대한 제3자의 모든 불법적 접속으로 인한 손해에 책임지지 않는다’는 면책 규정이 회사의 고의·과실 여부와 입증 책임을 모호하게 만든다고 판단했다. 개인정보보호법의 취지와 충돌할 수 있다는 이유에서다. 이에 개인정보위는 쿠팡에 약관 개선을 요구하고, 약관 소관 부처인 공정거래위원회에도 관련 의견을 제출하기로 했다. 탈퇴 절차 복잡성…와우 멤버십 구조도 문제개인정보위는 쿠팡의 회원탈퇴 절차가 지나치게 복잡하고 관련 메뉴 접근성이 떨어진다는 점도 지적했다. 유료 서비스인 ‘와우 멤버십’ 가입자의 경우 멤버십 해지를 탈퇴의 필수 조건으로 두면서 여러 단계를 거치도록 하는 구조, 해지 의사 재확인 절차 등을 통해 탈퇴가 어렵게 운영되고 있는 것으로 나타났다. 멤버십 잔여기간이 남아 있을 경우 해지가 불가능해 즉시 탈퇴가 사실상 제한되는 운영 방식 역시 문제로 지적됐다. 개인정보보호법 제38조 4항은 ‘개인정보 처리정지·동의 철회 절차가 개인정보 수집 절차보다 어렵지 않아야 한다’고 규정하고 있다. 유출 통지 문구 재정비…비회원 대상 조치는 미흡개인정보위는 지난 3일 긴급 의결 이후 쿠팡이 이행한 조치도 점검했다. 쿠팡은 사고 공지문의 표현을 ‘노출’에서 ‘유출’로 수정하고, 기존 안내에 포함되지 않았던 공동현관 비밀번호를 다시 통지했다. 홈페이지와 앱에도 공지문을 게시하는 등 일부 조치는 이행된 것으로 확인됐다. 그러나 배송지 명단에 포함돼 정보가 유출됐음에도 쿠팡 회원이 아닌 사람들에 대한 통지 계획은 구체화되지 않았고, 공지문의 접근성과 가시성 역시 충분하지 않은 것으로 평가됐다. 30일 이상 공지 유지·전담 대응팀 운영 주문개인정보위는 법에 따라 공지를 30일 이상 유지하고, 2차 피해 예방을 위해 전담 대응팀을 철저히 운영할 것을 쿠팡에 요구했다. 유출 규모와 피해 가능성을 고려할 때 이용자의 권리 행사가 원활히 이뤄지도록 탈퇴 절차와 약관 구조 전반에 대한 개선이 필요하다는 판단이다.
2025.12.10
개인정보위 "쿠팡, 개인정보 '노출' 아닌 '유출' 수정·재통지할 것" 개인정보보호위원회는 3천만명 이상의 고객에 대한 대규모 개인정보 유출 사태를 일으킨 쿠팡에 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 모두 반영해 재통지할 것을 요구했다. 개인정보위는 3일 긴급 전체회의를 열어 쿠팡이 이같은 조치를 즉각 실시할 것을 심의·의결했다고 밝혔다. 개인정보위에 따르면 쿠팡은 미확인자의 비정상적 접속으로 고객 개인정보가 유출된 사실을 파악했음에도 정보 주체에게 '노출' 통지라는 제목으로 안내했고 '유출' 사실은 통지하지 않았다. 또 관련 내용을 홈페이지에 단 1∼2일 짧게 공지하고 유출 항목 중 공동현관 비밀번호 등 일부를 누락해 국민 혼선을 초래했다. 개인정보위는 국민 대다수가 이용하는 이커머스 서비스에서 발생한 유출 사고임에도, 정보주체가 취할 수 있는 피해 예방 조치 안내가 충분하지 않았고 쿠팡의 자체 대응과 피해 구제 절차도 미흡해 국민 우려가 커졌다고 지적했다. 또 쿠팡이 배송지 명단에 포함돼 정보가 유출된 사람에게도 식별할 수 있는 범위 내에서 개인정보 유출 사실을 통지하고, 추가 유출 확인 시 즉각 신고·통지할 것을 요구했다. 개인정보위 관계자는 "쿠팡은 이용자가 직접 등록한 여러 배송지가 하나의 세트로 묶여 저장된다"며 "이름·주소·전화번호·공동현관 비밀번호 등이 함께 포함되는 구조라 부모님 집이나 지인에게 선물할 때 추가로 등록된 배송지 정보가 동시에 유출될 수 있다"고 밝혔다. 이어 "쿠팡은 회원 기준으로만 통지해 다른 배송지 정보가 유출됐는지 여부를 알기 어려운 상황"이라며 "배송지 명단에 포함된 사람들에게도 식별이 되는 대로 유출 사실을 통지해야 한다는 취지"라고 덧붙였다. 이어 개인정보위는 홈페이지 초기 화면이나 팝업창을 통해 일정 기간 이상 유출 내용을 공지하고, 공동현관 비밀번호 및 쿠팡 계정 비밀번호 변경 권고 등 추가 피해 예방 요령을 적극 안내할 것을 주문했다. 개인정보위는 피해 방지 대책의 실효성을 재점검하고 자체 모니터링을 강화하는 한편, 전담 대응팀을 확대 운영해 민원 제기나 언론 보도에 즉각 대응할 것도 요구했다. 이같은 요구에 대해 쿠팡에 7일 이내 조치 결과를 제출하도록 하고 이행 상황을 지속 점검할 방침이다. 개인정보위는 "국민 다수의 연락처, 주소 등이 유출된 사안의 중대성을 무겁게 인식하고 있다"며 "쿠팡의 개인정보 유출 경위, 규모·항목, 안전조치 의무 위반 등을 신속·철저히 조사하고 위반사항 확인 시 엄정 제재할 것"이라고 밝혔다. 개인정보위는 지난달 30일부터 3개월간 '인터넷상(다크웹 포함) 개인정보 유·노출 및 불법유통 모니터링 강화 기간'을 운영하며 유관 협회·단체와 공동으로 피해 예방 교육·캠페인을 집중적으로 전개하고 있다.
2025.12.03
