보도자료 2025년 12월 16일 (화) 

▣ 문의 : 약탈경제반대행동 공동대표 홍성준(P,N. 010-2267-3661)

 개인정보보호위원회는 쿠팡의 이용자 개인정보 국내이전 명령하라! 

1. 시민사회 발전과 공정보도를 위한 귀 언론, 방송사와 기자님의 노고에 감사드립니다. 

2. 쿠팡에서 3,370만 개의 이용자 정보가 유출되는 사상 초유의 사태가 일어난지 보름이 지났습니다. 이용자들의 혼란과 분노는 여전하지만, 김범석 회장은 국회의 청문회 출석을 거부하는 등 쿠팡의 오만하고 무책임한 행태는 계속되고 있습니다. 쿠팡에서는 이미 여러 번 이용자 정보유출 사건이 일어났었고, 노동자들의 과로사도 연달아 일어나기도 했습니다. 심지어 입점업체들에게 고금리 이자장사도 한다고 합니다. 이러한 쿠팡의 오만하고 무책임한 행태가 가능한 것은 전자상거래 시장에서 독점적 지위를 누리고 있기 때문이라는 지적이 많습니다. 더욱이 심각한 문제는 국내의 법제도를 무시하여도 별다른 제재를 할 수 없는 미국계 회사라는 점입니다.

3. 쿠팡 사태는 전자상거래 시장에서 독점적 지위에 있는 외국회사가 한국인 수천만 명의 개인정보를 집적하여 영업을 하며 일어난 사건입니다. 즉 쿠팡은 한국인들의 데이터 주권(data sovereignty)을 심각하게 침해하고 있습니다. 이에, 우리는 정부의 개인정보보호위원회에 개인정보보호법 위반 행위(개인정보보호법 제29조 안전성 확보조치 의무 위반, 개인정보보호법 제28조의8 개인정보의 국외 이전에 따른 법적 절차 위반, 데이터 주권 침해 및 정보주체의 권리 보장의무 위반 등)에 대하여 철저히 조사하고, 개인정보 보호법 제64조 제1항 제3호 등에 따라 한국 이용자의 개인정보를 국내 서버로 이전 명령, 안전성 확보조치 강화 및 기술적 보호조치 이행 명령 하는 등의 강력하고 실효적인 시정조치를 내려주실 것을 촉구하는 진정서를 제출하였습니다.

4. 첨부한 자료 설명 : 쿠팡 이용자 정보 국내이전 촉구 진정서, 광화문 국민권익위원회 합동민원센터 앞 사진 왼쪽부터 이민석 약탈경제반대행동 운영위원(금융피해자연대 고문변호사, 법률소비자연맹 사무총장)과 박휘영(법무법인 휘명 대표변호사), 진정서 접수증

5. 귀 언론, 방송사와 기자님의 비상한 관심과 취재를 바랍니다.(끝)

 2025년 12월 16일(화)

약탈경제반대행동(Vampire Capital Hunter) http://vch.co.kr/

별첨)

진 정 서

진 정 인 약탈경제반대행동 (Vampire Capital Hunter)

법무법인 휘명 박휘영 변호사

피진정인 쿠팡 주식회사

수 신 개인정보보호위원회 귀중

위 사건에 관하여 진정인들은 다음과 같이 피진정인의 개인정보보호법 위반 행위에 대한 철저한 조사와 강력한 시정조치를 촉구하는 진정서를 제출합니다.

진 정 취 지

피진정인의 개인정보보호법 위반 행위에 대하여 철저히 조사하고, 개인정보 보호법 제64조 등에 따라 한국 이용자의 개인정보를 국내 서버로 이전하는 등 강력하고 실효적인 시정조치를 내려주실 것을 촉구합니다.

진 정 원 인

1. 사건의 경위

 피진정인 쿠팡 주식회사(이하 "피진정인"이라 합니다)는 대한민국 전자상거래 시장에서 독점적 지위를 누리는 사업자로서, 약 3,370만 명에 달하는 방대한 한국인 이용자의 개인정보를 수집·처리하고 있습니다. 그런데 최근 피진정인이 운영하는 시스템에서 대규모 개인정보 유출 사태가 발생하여 수많은 정보주체의 권리가 심각하게 침해되었습니다. 피진정인은 자체 개발한 "쿠팡 인텔리전트 클라우드(CIC)"를 통해 이용자 정보, 구매 기록, 물류 데이터 등 핵심 정보를 관리하고 있으나, 피진정인의 본사는 미국에 소재하고 있어 사실상 한국 이용자들의 개인정보가 외국 기업의 통제하에 놓

여 있습니다. 이는 정보주체인 한국인 이용자는 물론, 대한민국 정부의 데이터 주권(Data Sovereignty)이 근본적으로 침해될 수 있는 중대한 문제입니다.

2. 피진정인의 개인정보보호법 위반 행위

 가. 안전성 확보조치 의무 위반 (개인정보보호법 제29조)

 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속통제장치 설치 등 기술적·관리적 및 물리적 조치를 하여야 할 의무가 있습니다(개인정보 보호법 제29조).그러나 3,370만 명이라는 막대한 규모의 개인정보가 유출되었다는 사실 자체가 피진정인이 이러한 안전성 확보조치 의무를 현저히 소홀히 하였음을 방증합니다. 법원은 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입탐지·차단시스템 운영 조치를 다하지 않은 경우, 개인정보처리자의 의무 위반을 인정하고 있습니다(서울행정법원 2025. 11. 6. 선고 2023구합84236 판결 참조). 특히, 안전한 인증수단 미적용, 접속 권한 IP 주소 미제한, 부실한 비밀번호 관리 등은 사회통념상 합리적으로 기대 가능한 보호조치를 다하지 않은 과실로 인정될 수 있습니다(서울중앙지방법원 2023. 10. 25. 선고 2022나62088 판결). 피진정인은 이번 유출 사태를 통해 위와 같은 안전성 확보조치 의무를 중대하게 위반하였음이 명백합니다.

 나. 개인정보의 국외 이전에 따른 법적 절차 위반(개인정보보호법 제28조의8)

 피진정인은 미국에 본사를 둔 외국계 기업으로서, 한국 이용자의 개인정보를 미국 등 국외에 위치한 클라우드 서버에 저장·처리하고 있을 개연성이 매우 높습니다. 이는 개인정보 보호법상 "개인정보의 국외 이전"에 해당합니다. 개인정보를 국외로 이전하기 위해서는 정보주체에게 국외 이전 사실과 이전받는 자 등에 관한 사항을 알리고 동의를 받거나, 개인정보 처리방침에 해당 내용을 공개하는 등 법에서 정한 엄격한 요건을 준수해야 합니다 (개인정보 보호법 제28조의8). 귀 위원회의 결정례에서도 이용자의 개인정보를 국외 서버에 처리위탁 및 보관하는 행위는 명백히 개인정보의 국외 이전에 해당하며, 법정 고지사항 누락 시 위법하다고 판단한 바 있습니다 (개인정보보호위원회-결정문-제2024-016-234호). 피진정인이 이러한 법적 절차를 제대로 준수하지 않고 한국 이용자의 개인정보를 국외로 이전하여 관리해왔다면, 이는 명백한 법 위반 행위입니다.

 다. 데이터 주권 침해 및 정보주체의 권리 보장의무 위반

 대한민국 헌법상 개인정보자기결정권은 정보주체가 자신의 정보에 대한 통제권을 갖는 것을 핵심으로 합니다. 피진정인과 같은 외국계 기업이 국내법의 규제를 회피하며 한국인의 개인정보를 국외에서 통제하는 것은 정보주체의 권리를 본질적으로 침해하는 것입니다. 대법원은 외국법을 준거법으로 합의했더라도, 소비자의 상거소지국인 대한민국의 강행규정이 소비자에게 부여하는 보호를 박탈할 수 없다고 판시하며, 구 정보통신망법의 개인정보보호 관련 규정을 강행규정으로 판단한 바 있습니다 (대법원 2023. 4. 13. 선고 2017다219232 판결). 또한, 정보통신망법은 국외에서 이루어

진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 적용된다고 명시하고 있습니다. 따라서 피진정인은 미국 기업이라는 이유로 대한민국 개인정보 보호법의 적용을 회피할 수 없으며, 대한민국 정보주체의 권리 보호를 위한 모든 의무를 다해야 합니다. 정부 역시 개인정보 국외 이전으로 정보주체의 권리가 침해되지 않도록 관련 시책을 마련할 의무가 있습니다.

3. 시정조치의 필요성 및 구체적인 내용

 가. 시정조치의 필요성

 피진정인은 전자상거래 시장에서의 독점적 지위를 이용하여 고객 이탈이 적을 것이라는 예상을 바탕으로 개인정보 유출 사태에 대해 안일하게 대처하고 있습니다. 단순한 과징금 부과만으로는 근본적인 문제 해결을 기대하기 어렵습니다. 과거 유사한 개인정보 유출 사건에서 법원은 재발 방지를 위한 구체적인 시정명령의 필요성을 인정해왔습니다(서울행정법원 2025. 11. 6. 선고 2023구합84236 판결 참조). 따라서 이번 사태를 계기로 피진정인의 구조적인 문제를 해결하고 대한민국의 데이터 주권을 확립하기 위한 강력하고 실효적인 시정조치가 반드시 필요합니다.

나. 구체적인 시정조치 요구사항

 진정인들은 귀 위원회가 개인정보 보호법 제7조의8(소관 사무), 제7조의9(심의·의결 사항)에 근거하여 다음과 같은 시정조치를 내려주실 것을 강력히 촉구합니다.

 1) 한국 이용자 개인정보의 국내 서버 이전 명령

 개인정보 보호법 제64조 제1항 제3호는 개인정보처리자가 이 법을 위반하여 개인정보를 계속 이용하는 경우 "처리의 정지"를 명할 수 있도록 규정하고 있습니다. 피진정인이 국외 서버에서 한국 이용자의 개인정보를 처리하는 행위 자체가 앞서 본 바와 같이 법 위반 소지가 크므로, 귀 위원회는 피진정인에게 현재 국외 클라우드에 보관·처리 중인 모든 한국인 이용자의 개인정보를 대한민국 내에 위치하고 국내법을 준수하는 서버로 이전하도록 명령하여야 합니다. 이는 대한민국 정부와 정보주체가 실질적인 데이터 통제권을 확보하기 위한 최소한의 조치입니다.

 2) 안전성 확보조치 강화 및 기술적 보호조치 이행 명령

 피진정인에게 개인정보처리시스템에 대한 접근 통제를 강화하기 위해 ▲모든 관리자 접속에 대한 2단계 인증(2FA) 의무화, ▲인가된 IP 주소에서만 접속을 허용하는 접근통제 시스템 구축, ▲정기적인 비밀번호 변경 및 복잡성 강화 규칙 적용, ▲외부 전문가를 통한 연 1회 이상의 정기적인 보안 취약점 점검 및 결과 보고 등 구체적인 기술적·관리적 보호조치를 이행하도록 명령하여 주시기 바랍니다(서울행정법원 2025. 11. 6. 선고 2023구합84236 판결, 서울중앙지방법원 2023. 10. 25. 선고 2022나62088 판결 참조).

 3) 역대 최대 규모의 과징금 부과 및 결과 공표

 개정된 개인정보 보호법 제64조의2는 위반행위와 관련한 매출액이 아닌 "전체 매출액"의 3%까지 과징금을 부과할 수 있도록 하고 있습니다. 피진정인의 위반 행위의 중대성, 3,370만 명이라는 피해 규모, 시장 내 독점적 지위 등을 고려하여 다시는 이러한 사태가 재발하지 않도록 역대 최대 규모의 과징금을 부과하여 주시기 바랍니다. 또한, 개인정보 보호법 제66조에 따라 조사 및 처분 결과를 상세히 공표하여 국민의 알 권리를 보장하고 다른 사업자들에게 경각심을 주어야 합니다.

4. 결론

 피진정인의 이번 대규모 개인정보 유출 사태는 단순한 기술적 실수를 넘어, 대한민국 법질서와 데이터 주권을 경시한 결과물입니다. 이는 수천만 국민의 개인정보자기결정권을 심각하게 침해한 중대 범죄행위입니다.귀 위원회는 개인정보 보호에 관한 사무를 독립적으로 수행하는 중앙행정기관으로서(개인정보 보호법 제7조), 정보주체의 권리침해에 대한 조사 및 처분에 관한 책무를 지고 있습니다(개인정보 보호법 제7조의8 제3호). 부디 3,370만 명에 달하는 정보주체의 침해된 권리를 구제하고, 대한민국의 데이터 주권을 확립하기 위한 강력하고 실효적인 조치를 취해주시길 바랍니다.

2025년 12월 16일

약탈경제반대행동 대표 홍성준 (인)

법무법인 휘명 변호사 박휘영 (인) 

개인정보보호위원회 귀중