맞춤형 광고 쇼핑몰 점검: 쿠팡 개인정보 과징금의 수집동의·파트너 관리 리스크

한 줄 결론

개인정보보호위원회는 쿠팡 및 쿠팡풀필먼트서비스(CFS)에 대하여 안전조치 의무 위반, 법적 근거 없는 개인정보 수집, 타사 웹·앱 활동기록 무단 수집 및 맞춤형 광고 파트너 관리 소홀 등의 사유로 총 6,246억 8,100만 원의 과징금과 1,680만 원의 과태료 부과, 그리고 시정명령 및 공표를 의결했습니다.

이번 결정은 고객의 온라인 활동 기록을 맞춤형 광고에 활용하는 방식과 개인정보 유출 대응 체계를 함께 문제 삼은 사례입니다. 자체 쇼핑몰, 광고 픽셀, 외부 광고 대행사를 운영하는 사업자는 데이터 수집 동의, 거부 기능, 파트너 관리 증빙을 먼저 재점검해야 합니다.

적용 대상 빠른 판별

공식 자료로 확인된 변경 내용

개인정보보호위원회의 이번 제재 처분 의결은 크게 세 가지 핵심 위반 사항을 근거로 하고 있습니다. 이커머스 실무자들은 아래의 구체적인 적발 사례를 자사의 상황에 대입하여 리스크를 점검해야 합니다.

1. 쿠팡의 대규모 개인정보 유출 및 안전조치 의무 위반

개인정보위 조사 결과, 쿠팡은 인증 서명키 관리 및 접근통제 소홀 등 기본적인 안전관리 체계가 미흡하여 약 3,755만 명에 달하는 막대한 규모의 개인정보를 유출한 것으로 결론 났습니다. 또한, 사고 발생 이후 유출 통지 및 파기 의무를 위반하였으며, 개인정보 보호책임자(CPO)의 독립성 보장 위반 및 조사 방해 행위까지 추가로 확인되었습니다. 이에 따라 개인정보위는 유사 사고 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체를 대상으로 한 유출 통지 실시, CPO의 실질적 역할 보장 등을 시정 명령했습니다. 특히 ‘탈퇴회원 개인정보 처리 체계’와 관련하여 개선을 권고하고 3개월 내 이행 및 조치 결과를 확인할 예정입니다.

2. 정보주체 권리 침해 및 맞춤형 광고 관련 위반

쿠팡은 자사 플랫폼에서 타사 웹사이트나 앱에 접속한 회원 약 1,117만 명의 온라인 활동 기록을 무단으로 수집하여 데이터베이스(DB)에 저장한 사실이 적발되었습니다. 여기서 무단 수집된 데이터에는 쿠팡 광고가 게재된 타사 웹·앱에 대한 이용자의 방문기록(URL 및 앱 이름), 접속 일시, 접속 IP 등이 포함되었습니다. 더불어, 부정광고(이른바 ‘납치광고’)를 게재하는 외부 광고 파트너를 적절히 관리하고 감독하지 않아, 이용자의 의사에 반하여 쿠팡 서비스 이용 기록이 수집되도록 방치한 사실도 함께 확인되었습니다. 이에 대해 개인정보위는 개인정보 처리의 투명성 제고, 맞춤형 광고에 대한 정보주체의 실질적 선택권 보장, 부정광고 방지를 위한 관리 및 감독 강화를 시정 명령했습니다.

3. 쿠팡풀필먼트서비스(CFS)의 정보주체 권리 침해 및 민감정보 처리 위반

CFS는 자사 물류센터에 근무한 이력이 전혀 없는 경찰청 출입기자단 명단(71명)을 수집하여 취업제한 목록에 등록하고 관리한 것으로 드러났으며, 이는 명백한 개인정보 수집 및 이용 위반으로 판단되었습니다. 또한, ‘임직원 건강 관리’라는 본래의 목적을 위해 보유하고 관리 중이던 임직원의 체중 정보를 산업재해 관련 소송 과정에서 법원에 증거로 제출한 행위는 민감정보 처리 위반으로 결론 났습니다. 이로 인해 CFS에는 별도로 2억 4,800만 원의 과징금이 부과되었습니다.

실무자가 오해하기 쉬운 부분

이번 제재와 관련하여 이커머스 업계 실무자 및 경영진이 흔히 오해할 수 있는 부분들을 명확히 바로잡습니다.

• 오해 1: 이번 과징금 사태는 쿠팡이라는 특정 대기업의 보안 사고에 국한된 문제이므로 일반 자사몰과는 무관하다.
  사실: 그렇지 않습니다. 이번 의결에서 가장 주목해야 할 부분은 ‘타사 웹·앱에서의 온라인 활동 기록 무단 수집’과 ‘광고 파트너사 관리 감독 소홀’을 명시적으로 제재했다는 점입니다. 이는 페이스북 픽셀, 구글 애널리틱스 등 다양한 트래커를 활용하여 맞춤형 리타겟팅 광고를 집행하는 모든 이커머스 사업자에게 동일한 법적 잣대가 적용될 수 있음을 시사합니다. 고객의 동의 없는 활동 기록 수집은 기업 규모와 무관하게 중대한 위반 행위로 간주됩니다.
• 오해 2: 광고 대행사나 애드네트워크 파트너사가 진행한 부정광고(납치광고)는 전적으로 파트너사의 책임이다.
  사실: 개인정보위는 쿠팡이 부정광고를 게재하는 파트너를 ‘적절히 관리·감독하지 않아’ 이용자 의사에 반하는 데이터 수집이 발생했다고 지적하며 시정명령을 내렸습니다. 즉, 광고주인 이커머스 사업자에게 외부 파트너사에 대한 강력한 관리 및 감독 책임이 법적으로 부여된다는 것을 의미합니다. 파트너사의 일탈이라 하더라도 광고주가 책임을 면할 수 없습니다.
• 오해 3: 탈퇴한 회원의 데이터는 로그인 등 접근만 차단해 두면 법적으로 문제가 없다.
  사실: 쿠팡의 사례에서 ‘탈퇴회원 개인정보 처리 체계’ 개선 권고가 내려졌으며, 유출통지 및 파기 의무 위반이 적발되었습니다. 개인정보보호법상 탈퇴 회원의 데이터는 법령에 따른 의무 보존 기간이 지나면 즉시, 그리고 복구 불가능한 방법으로 ‘파기’해야 합니다. 단순히 비활성화하거나 접근을 차단하는 것만으로는 파기 의무를 다한 것으로 인정받지 못합니다.
• 오해 4: 회사 내부에서 직원 복지나 건강 관리를 위해 수집한 정보는 회사의 자산이므로 소송 등 필요한 곳에 자유롭게 활용할 수 있다.
  사실: CFS의 사례에서 명확히 드러나듯, ‘임직원 건강 관리’ 목적으로 수집한 체중 정보 등의 민감정보를 산업재해 소송 과정에서 법원에 제출한 것은 목적 외 사용 및 민감정보 처리 위반입니다. 수집 목적과 다르게 데이터를 활용하는 것은 엄격히 금지되며, 특히 건강 정보와 같은 민감정보는 더욱 철저한 관리가 요구됩니다.

지금 할 일

이커머스 사업자 및 관련 실무자들은 이번 개인정보위의 강력한 제재 조치를 반면교사 삼아, 자사의 개인정보 처리 현황을 즉각적으로 전면 재검토해야 합니다.

첫째, 자사몰 및 앱에 연동된 모든 서드파티(3rd-party) 광고 트래커와 스크립트의 현황을 파악하십시오. 고객이 우리 쇼핑몰을 벗어나 타사 웹사이트나 앱을 이용할 때의 방문 기록(URL, 앱 이름), 접속 일시, 접속 IP 등을 무단으로 수집하고 있지 않은지 기술적인 점검이 필수적입니다.

둘째, 맞춤형 광고를 집행하고 있다면, 정보주체인 고객에게 데이터 수집 및 활용에 대한 명확한 사전 동의를 받고 있는지, 그리고 고객이 원할 경우 이를 쉽게 거부(Opt-out)할 수 있는 실질적인 선택권이 UI/UX 상에 제대로 구현되어 있는지 확인하십시오.

셋째, 현재 계약을 맺고 있는 모든 외부 광고 대행사 및 애드네트워크 파트너사와의 계약 내용을 재검토하십시오. 부정광고(납치광고 등)를 엄격히 금지하는 조항을 추가하고, 파트너사의 데이터 수집 방식을 정기적으로 확인할 수 있는 관리 감독 프로세스를 구축해야 합니다.

넷째, 내부 보안 인프라, 특히 인증 서명키 관리 및 데이터베이스 접근 통제 시스템이 최신 보안 기준을 충족하는지 IT 부서와 협력하여 점검하고, 개인정보 보호책임자(CPO)가 경영진의 간섭 없이 독립적으로 업무를 수행할 수 있는 환경이 조성되어 있는지 조직 문화를 점검하시기 바랍니다.