개인정보위, 쿠팡에 약관 시정 요구… “면책조항 법 취지 위반 소지”

개인정보보호위원회(이하 ‘개인정보위’)가 쿠팡㈜의 개인정보 처리 및 이용약관 운영 실태를 점검한 결과, 법 위반 소지가 있는 여러 문제점을 확인하고 시정 조치를 요구했다.

12월 10일 열린 제26회 전체회의에서 개인정보위는 쿠팡이 지난 11월 개정한 이용약관(제38조)에 ‘서버에 대한 제3자의 불법적 접속 등으로 발생하는 손해에 대해 책임지지 않는다’는 면책 조항을 신설한 사실을 확인했다.

현행 개인정보보호법 제29조는 개인정보처리자가 정보 유출 방지를 위해 필요한 안전조치를 해야 함을 규정하고 있으며, 위반으로 인한 손해가 발생할 경우 고의·과실이 없음을 사업자가 입증해야 한다(제39조).

이에 개인정보위는 쿠팡의 약관이 고의·과실로 인한 손해에 대한 회사의 책임을 불명확하게 만들어 법의 취지에 반한다고 지적했다. 또한 이용자에게 혼란을 줄 수 있다며 약관의 개선을 요구하고, 공정거래위원회에도 관련 의견을 전달할 계획이라고 밝혔다.

개인정보위는 쿠팡이 회원탈퇴 절차를 불필요하게 복잡하게 구성했다고 지적했다. 특히 유료 서비스인 ‘와우 멤버십’ 가입자의 경우, 탈퇴 전 멤버십 해지를 필수 조건으로 두면서 여러 단계를 거치게 했고, 해지 의사 재확인 절차까지 요구한 것으로 드러났다.

일부 회원은 멤버십 잔여 기간이 끝나기 전까지 해지가 불가능해 즉시 회원탈퇴가 사실상 불가능한 상황이었다.

개인정보위는 이 같은 운영 방식이 **보호법 제38조 제4항(동의철회 및 처리정지 절차는 수집 절차보다 어렵지 않아야 한다)**를 위반할 소지가 있다고 판단했다. 이에 쿠팡에 탈퇴 절차 간소화 및 이용자 접근성 개선을 촉구했다.

이날 회의에서는 쿠팡의 개인정보 유출 통지 조치에 대한 점검도 이뤄졌다. 쿠팡은 기존 ‘노출’ 표현을 ‘유출’로 수정하고, **누락된 유출 항목(공동현관 비밀번호)**을 포함해 재통지를 진행했다.

또한 홈페이지와 앱에 공지문을 게시하는 등 일부 조치를 이행했으나, 쿠팡 회원이 아닌 피해자에 대한 구체적 통지계획이 부재했고, 공지문의 접근성과 가시성도 낮은 것으로 확인됐다.

이에 개인정보위는 보호법 제34조 및 시행령 제39조제3항에 따라 30일 이상 공지를 유지하고, 2차 피해 예방을 위해 사고 전담 대응팀을 운영할 것을 명령했다.

최근 쿠팡 계정 정보가 인터넷 및 다크웹 상에서 유통되고 있다는 의심 정황이 언론과 신고를 통해 확인되면서, 개인정보위는 쿠팡 측에 자체 모니터링을 강화하고 즉각적인 대응 체계를 구축할 것을 요구했다.

또한 이번 유출 사건의 경위 및 법 위반 여부를 철저히 조사 중이며, 법 위반이 확인될 경우 엄정한 행정처분을 예고했다.

쿠팡은 대규모 개인정보 유출 사건 이후 신뢰 회복을 위해 보다 투명하고 신속한 대응이 필요하다. 단순한 약관 수정이 아니라, 이용자의 권리를 실질적으로 보호할 수 있는 **‘사용자 중심의 개인정보 관리 체계’**로의 전환이 요구된다.

[비즈데일리 장대성 기자]

경제