CONTENTS
- 1. 개인정보컴플라이언스 | 쿠팡 6246억 과징금 사건의 주요 내용
- - 역대 최대 규모 과징금이 부과된 배경
- 2. 개인정보컴플라이언스 | 사건에서 확인된 주요 위반 유형
- - 안전조치 의무 위반과 개인정보 유출
- - 온라인 활동기록 수집과 개인정보 활용 문제
- - 개인정보보호책임자 운영 및 내부통제 문제
- - 광고 파트너 관리 및 민감정보 처리 문제
- 3. 개인정보컴플라이언스 | 개인정보유출 사건이 기업에 남긴 시사점
- - 기업에 남긴 시사점
- 4. 개인정보컴플라이언스 | 기업 리스크와 법률 검토 필요성
- - 기업이 검토해야 할 리스크
- - 기업변호사의 조력
1. 개인정보컴플라이언스 | 쿠팡 6246억 과징금 사건의 주요 내용
개인정보컴플라이언스 관점에서 이번 쿠팡 사건은 개인정보 유출 사고와 온라인 활동기록 처리 문제가 동시에 제재 대상으로 판단된 사례입니다.
개인정보보호위원회는 2026년 6월 쿠팡에 총 6,246억 8,100만 원의 과징금을 부과했습니다.
개인정보 유출에 대한 과징금과 온라인 활동기록 무단 수집에 대한 과징금을 합산한 금액으로, 개인정보 처리 전반에 대한 관리체계가 함께 검토됐다는 점이 특징입니다.
이번 사건은 해킹에 따른 정보 유출 여부만이 아니라 개인정보 수집·이용 과정, 광고 운영 방식, 개인정보보호책임자 운영체계, 민감정보 처리 현황까지 조사 범위에 포함됐습니다.
이에 따라 개인정보보호위원회는 과징금 부과와 함께 시정명령 및 개선 권고도 내렸습니다.
역대 최대 규모 과징금이 부과된 배경
이번 제재는 하나의 위반행위가 아닌 복수의 위반행위가 함께 인정됐다는 점을 먼저 살펴볼 필요가 있습니다.
구분 | 주요 내용 | 과징금 |
|---|---|---|
개인정보 유출 | 약 3,750만 명 개인정보 유출 | 약 4,236억 원 |
온라인 활동기록 수집 | 약 1,117만 명 온라인 활동기록 수집 | 약 2,011억 원 |
합계 | 복수 위반행위 인정 | 약 6,246억 원 |
개인정보보호위원회는 인증서명키 관리와 접근통제 등 안전조치 의무 위반으로 대규모 개인정보 유출이 발생했다고 판단했습니다.
이와 별도로 이용자의 온라인 활동기록을 수집·보관한 행위 역시 개인정보보호법 위반에 해당한다고 봤습니다.
과징금 규모 자체보다 주목되는 부분은 개인정보 유출과 데이터 활용 문제가 각각 독립적인 위반행위로 평가됐다는 점입니다.
개인정보 유출 사고가 발생하지 않았더라도 온라인 활동기록 처리 방식만으로 별도 제재가 가능하다는 의미이기도 합니다.
2. 개인정보컴플라이언스 | 사건에서 확인된 주요 위반 유형
개인정보컴플라이언스 체계는 개인정보 수집부터 이용, 보관, 파기까지 전 과정을 대상으로 운영됩니다.
이번 사건에서는 보안 관리체계, 데이터 활용 방식, 내부 통제 체계, 외부 파트너 관리 영역이 모두 조사 대상에 포함됐습니다.
개인정보보호위원회가 어떤 부분을 문제 삼았는지 살펴보면 기업이 점검해야 할 영역도 함께 확인할 수 있습니다.
안전조치 의무 위반과 개인정보 유출
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
개인정보보호위원회는 쿠팡의 인증서명키 관리와 접근통제 체계에 문제가 있었다고 판단했습니다.
그 결과 약 3,750만 명 규모의 개인정보가 유출됐다고 보고 약 4,236억 원의 과징금을 부과했습니다.
개인정보보호법 제29조는 개인정보처리자에게 개인정보 유출 방지를 위한 기술적·관리적 및 물리적 보호조치를 마련하도록 규정하고 있습니다.
이번 사건에서는 해당 조항에 따른 안전조치 의무 이행 여부가 주요 판단 기준 가운데 하나가 됐습니다.
온라인 활동기록 수집과 개인정보 활용 문제
개인정보보호위원회는 쿠팡이 회원들의 온라인 활동기록을 수집해 개인 식별이 가능한 상태로 데이터베이스에 저장했다고 판단했습니다.
조사 대상에는 URL 정보, 접속 일시, 접속 IP, 앱 이용 정보 등이 포함됐습니다.
수집 정보 | 내용 |
|---|---|
URL 정보 | 타사 웹사이트 방문 기록 |
접속 일시 | 이용 시점 정보 |
접속 IP | 접속 환경 관련 정보 |
앱 이용 정보 | 타사 앱 이용 정보 |
개인정보보호법 제15조는 개인정보 수집·이용의 법적 근거를 규정하고 있으며, 개인정보처리자는 처리 목적과 수집 범위를 명확하게 정해야 합니다.
개인정보보호위원회는 이번 사건에서 온라인 활동기록 수집 및 보관 과정이 관련 법령 기준에 부합하는지 여부를 검토했으며, 해당 위반행위에 대해 약 2,011억 원의 과징금을 부과했습니다.
개인정보보호책임자 운영 및 내부통제 문제
개인정보컴플라이언스 체계에서 개인정보보호책임자(CPO)는 개인정보 보호 업무를 총괄하는 역할을 수행합니다.
개인정보보호법 제31조는 개인정보처리자에게 개인정보보호책임자를 지정하도록 규정하고 있으며, 개인정보 처리 현황 점검, 내부 관리계획 수립 및 운영 등의 업무를 담당하도록 하고 있습니다.
개인정보보호위원회는 이번 조사에서 쿠팡의 개인정보보호책임자 독립성이 충분히 보장되지 않았다고 판단했습니다. 또한 개인정보보호책임자가 개인정보 처리 과정에 대한 관리·감독 기능을 실질적으로 수행할 수 있는 체계가 적절하게 운영됐는지 여부도 함께 검토했습니다.
이에 따라 이번 사건에서는 개인정보 유출과 온라인 활동기록 처리 문제 외에도 개인정보보호 조직의 운영체계가 조사 대상에 포함됐습니다.
광고 파트너 관리 및 민감정보 처리 문제
개인정보보호위원회는 쿠팡의 광고 파트너 운영 과정에서 이용자 의사와 무관하게 서비스 이용기록이 수집된 사실을 확인했다고 밝혔습니다.
조사 결과에는 광고 파트너가 이용자의 웹사이트 방문기록과 앱 이용기록 등을 수집하는 과정도 포함됐습니다.
개인정보보호위원회는 쿠팡이 광고 파트너를 통해 수집된 정보의 처리 과정을 적절하게 관리·감독했는지 여부를 조사했고 그 결과 개인정보 처리의 투명성 확보와 이용자 선택권 보장 측면에서 개선이 필요하다고 판단해 관련 시정명령을 내렸습니다.
또한 쿠팡풀필먼트서비스(CFS)의 근로자 체중정보 활용 과정도 조사 대상에 포함됐습니다.
개인정보보호위원회는 CFS가 임직원 건강관리 목적으로 수집·보관하던 체중정보를 산업재해 관련 소송 과정에서 활용한 사실을 확인했습니다.
이에 해당 정보가 건강상태와 관련된 민감정보에 해당한다고 보고, 수집 목적 범위를 벗어나 활용됐는지 여부를 검토했습니다.
개인정보보호법 제23조는 건강정보와 같은 민감정보를 처리하는 경우 별도의 법적 근거가 있거나 정보주체의 별도 동의를 받도록 규정하고 있습니다.
개인정보보호위원회는 체중정보 활용 과정이 이러한 민감정보 처리 요건에 부합하지 않는다고 판단했고, 이에 대해 별도 과징금을 부과했습니다.
3. 개인정보컴플라이언스 | 개인정보유출 사건이 기업에 남긴 시사점
개인정보컴플라이언스는 개인정보 유출 사고 대응에만 국한되지 않습니다.
이번 쿠팡 사건에서는 개인정보 유출, 온라인 활동기록 수집, 개인정보보호책임자 운영, 광고 파트너 관리, 민감정보 처리 등 다양한 영역이 함께 조사됐습니다.
개인정보보호위원회는 개인정보보호법 제29조의 안전조치 의무, 제15조의 개인정보 수집·이용 기준, 제23조의 민감정보 처리 제한, 제31조의 개인정보보호책임자 관련 규정 등을 종합적으로 검토해 제재를 결정했습니다.
특히 개인정보 유출 규모뿐 아니라 개인정보 처리 과정 전반에 대한 관리체계까지 함께 살펴봤다는 점에서 기업들이 참고할 부분이 적지 않습니다.
기업에 남긴 시사점
이번 사건에서 개인정보보호위원회는 약 3,750만 명의 개인정보 유출뿐 아니라 온라인 활동기록 처리 과정에 대해서도 별도의 위반행위가 성립한다고 판단했습니다.
전체 과징금 6,246억 원 가운데 약 2,011억 원이 온라인 활동기록 수집 및 활용과 관련된 위반행위에 부과됐다는 점도 눈여겨볼 부분입니다.
또한 개인정보보호위원회는 개인정보 유출 사실만 확인한 것이 아니라 개인정보보호책임자 운영체계, 광고 파트너 관리·감독 체계, 민감정보 활용 과정까지 함께 조사했습니다.
이는 개인정보 처리 결과뿐 아니라 개인정보를 수집하고 이용하는 과정, 내부 관리체계 운영 현황도 조사 대상이 될 수 있음을 보여줍니다.
검토 영역 | 주요 조사 내용 |
|---|---|
안전조치 의무 | 접근통제, 인증서명키 관리 |
개인정보 수집·이용 | 온라인 활동기록 수집 및 활용 |
민감정보 처리 | 체중정보 활용 적법성 |
내부통제 체계 | CPO 독립성 및 운영 현황 |
외부 파트너 관리 | 광고 파트너 관리·감독 체계 |
이번 사건 이후 기업은 개인정보 유출 방지를 위한 보안체계뿐 아니라 개인정보 처리방침 운영 현황, 온라인 활동기록 활용 방식, 민감정보 보유 여부, 개인정보보호책임자 운영체계, 위탁사 및 제휴사 관리 현황까지 함께 점검해야 할 필요성이 커졌습니다.
특히 온라인 서비스 운영 기업의 경우 광고·마케팅 과정에서 활용되는 데이터가 어떤 방식으로 수집되고 이용되는지, 이용자에게 관련 내용이 적절하게 고지되고 있는지 여부를 확인할 필요가 있습니다.
4. 개인정보컴플라이언스 | 기업 리스크와 법률 검토 필요성
개인정보컴플라이언스 미비는 개인정보 유출 사고 발생 여부와 관계없이 기업에 다양한 법적·경영상 리스크를 발생시킬 수 있습니다.
개인정보보호위원회의 조사 범위가 개인정보 처리 전반으로 확대되면서 기업은 과징금뿐 아니라 손해배상, 거래상 불이익, 평판 저하 등의 위험도 함께 고려해야 합니다.
특히 고객 데이터를 활용하는 플랫폼 기업, 온라인 서비스 기업, 전자상거래 기업의 경우 개인정보 처리 과정 전반에 대한 정기적인 법률 검토가 필요할 수 있습니다.
기업이 검토해야 할 리스크
구분 | 주요 리스크 |
|---|---|
행정상 리스크 | 과징금, 과태료, 시정명령 |
민사상 리스크 | 손해배상청구, 집단분쟁조정 |
거래상 리스크 | 거래처 점검, 계약상 불이익 |
평판 리스크 | 고객 신뢰도 하락, 브랜드 이미지 훼손 |
운영상 리스크 | 시스템 개선 비용, 내부 통제 강화 비용 |
개인정보 관련 이슈는 정보보호 부서만의 문제가 아닙니다.
개인정보 처리 과정에서 위반사항이 확인될 경우 법무, 마케팅, IT, 인사 등 여러 부서가 동시에 영향을 받을 수 있으며, 경우에 따라 과징금 부과와 시정명령 이행, 손해배상 대응까지 검토해야 할 수 있습니다.
따라서 기업은 개인정보 처리 과정 전반에 대한 정기적인 점검 체계를 마련하고, 개인정보 처리방침과 실제 운영 현황이 일치하는지 확인할 필요가 있습니다.
또한 온라인 활동기록 활용 방식, 민감정보 처리 절차, 위탁업체 관리 현황 등에 대한 법률 검토를 통해 잠재적인 위험 요소를 사전에 확인하는 것이 바람직합니다.
기업변호사의 조력
▶ 온라인 활동기록, 맞춤형 광고, 제휴마케팅, 쿠키 및 SDK 운영 과정에 대한 적법성 검토와 행태정보 처리 관련 리스크 진단
▶ 개인정보보호책임자(CPO) 운영체계, 내부 관리계획, 임직원 교육 및 감사체계에 대한 컴플라이언스 점검 수행
▶ 개인정보보호책임자(CPO) 운영체계, 내부 관리계획, 임직원 교육 및 감사체계에 대한 컴플라이언스 점검 수행
▶ 개인정보보호위원회 조사, 자료 제출 요구, 현장조사, 의견청취 절차 등에 대한 대응 전략 수립 및 의견서 작성 지원
▶ 개인정보 유출 사고, 민감정보 처리 문제, 손해배상 청구 및 집단분쟁조정 발생 시 사실관계 분석과 분쟁 대응 자문 제공
대한민국 9위 로펌 법무법인 대륜(*2025년 국세청 부가가치세 신고 기준)은 기업법무, 컴플라이언스, 개인정보보호, 정보통신, 데이터 규제 분야의 법률 전문가들이 협업하여 개인정보 처리체계 진단부터 개인정보보호위원회 조사 대응, 내부 규정 정비, 분쟁 대응까지 종합적인 법률자문을 제공하고 있습니다.
개인정보 유출 사고 대응뿐 아니라 온라인 활동기록 활용, 민감정보 처리, 내부 통제 체계 운영 등 개인정보컴플라이언스 전반에 대한 법률 검토가 필요하다면 🔗기업변호사와의 상담을 통해 귀사의 개인정보 관리체계를 점검해 보시기 바랍니다.
