쿠팡이 1117만 명에 이르는 이용자의 타사 온라인 활동 기록까지 무단 수집한 것으로 드러났다. 11일 개인정보보호위원회가 개인정보 안전조치 의무 위반 등으로 쿠팡에 부과한 전체 과징금의 30% 이상이 해당 행위에 대한 제재금이다.
개인정보위는 전날 정부서울청사에서 전체회의를 열어 쿠팡에 대한 제재안을 심의하고 이날 6246억여원의 과징금을 쿠팡에 부과한다고 밝혔다. 그 중 약 2011억원은 이용자 동의 없이 다른 회사의 웹·앱 이용기록을 수집해 맞춤형 광고에 활용한 행위에 대한 제재라고 덧붙였다.
개인정보위에 띠르면 쿠팡은 2024년 12월23일부터 올해 2월4일까지 이용자 1117만613명의 타사 온라인 활동기록을 법적 근거 없이 수집·저장했다. 이는 개인정보보호법을 위반으로, 쿠팡의 제휴 마케팅 프로그램인 ‘쿠팡 파트너스’가 문제가 됐다. 쿠팡 파트너스는 개인이나 기업이 운영하는 웹사이트·앱 등에 쿠팡 광고를 게재하고 이를 통해 상품이 판매되면 판매액의 일정 비율을 수수료로 지급하는 방식으로 운영된다.
개인정보위는 “이용자가 쿠팡 광고가 게재된 외부 웹사이트나 앱을 방문할 경우 쿠팡은 이용자의 마케팅 동의 여부를 확인하고 상품 조회·구매 이력 등을 분석해 맞춤형 광고를 제공했다”며 “이 과정에서 광고를 클릭하지 않은 이용자의 기기 식별자와 타사 웹·앱 이용 기록까지 수집해 광고 데이터베이스(DB)에 저장했다”고 알렸다.
수집된 정보에는 인터넷주소(URL) 또는 앱 명칭, 접속 경로, 접속 일시, 접속 인터넷 프로토콜(IP), 운영체제(OS), 브라우저 정보, 화면 해상도 등이 포함됐다. 조사 결과 쿠팡은 이 기간 총 1564만5338개의 웹페이지 또는 앱 이용기록을 수집한 것으로 나타났다.
개인정보위는 쿠팡이 수집한 타사 온라인 활동기록이 기기 식별자와 회원번호 등과 함께 광고DB에 저장돼 개인을 식별할 수 있는 개인정보에 해당한다고 판단했다. 특히 여러 서비스와 웹·앱에 걸친 온라인 활동기록이 장기간 축적될 경우 개인의 관심사와 성향 등을 분석할 수 있고 경우에 따라 건강 상태나 정치적 성향, 종교 등 민감한 정보까지 추론할 수 있어 정보주체 권리 침해 우려가 크다고 개인정보위는 설명했다.
그러나 쿠팡은 이러한 정보 수집과 활용에 대해 이용자 동의를 받지 않았고 개인정보 처리방침이나 맞춤형 광고 안내 페이지 등에도 관련 내용을 명확히 고지하지 않았기에 개인정보보호법상 개인정보 수집·이용 규정을 위반한 것으로 보고 2000억원대 과징금 철퇴를 내렸다.
개인정보위는 “쿠팡에 타사 웹·앱에서도 개인을 식별한 정보가 처리돼 맞춤형 광고가 제공될 수 있다는 사실을 이용자에게 명확히 알리고, 마케팅 관련 개인정보 수집·이용 동의를 쉽게 철회할 수 있도록 시정할 것을 명령했다”고 전했다.
이에 더해 개인정보위는 쿠팡이 일부 광고 파트너의 이른바 ‘납치광고’ 행태를 인지하고도 적절한 제재를 하지 않은 사실을 확인하고 시정명령을 내렸다. 납치광고는 이용자가 클릭하지 않았는데도 광고 페이지나 특정 앱·웹사이트로 강제 이동시키고, 뒤로 가기·닫기 등으로 쉽게 벗어나지 못하게 설계된 온라인 광고 행태를 뜻한다.
조사 결과 쿠팡은 2022년 8월부터 제보 등을 통해 납치광고를 인지하고 신고 제도와 탐지 시스템을 운영해왔지만, 자체 기준상 계정 해지 대상에 해당하는 일부 광고 파트너에 대해 계정 해지 등의 조치를 하지 않은 것으로 나타났다. 오히려 일부 파트너에게는 추가 수수료율을 적용한 사실도 확인됐다.
쿠팡은 화면 전체를 투명 버튼으로 덮어 광고를 닫으려 해도 쿠팡으로 연결되거나, 웹사이트·앱 접속 후 수초 뒤 자동으로 쿠팡으로 전환되는 방식 등을 활용한 것으로 알려졌다. 이에 개인정보위는 쿠팡 측에 부정 광고를 게재한 광고 파트너에 대한 엄격한 제재 등 관리·감독을 강화할 것을 시정명령했다.
박재림 기자 jamie@segye.com
