개인정보보호위원회가 대규모 정보 유출 사고를 겪은 쿠팡에 대해 손해배상 면책 조항을 손보고 회원 탈퇴 절차를 개선하라고 요구했다.
개인정보위는 10일 전체회의에서 쿠팡의 이용약관과 회원탈퇴 운영 방식, 유출 통지 조치 등을 점검한 결과 여러 문제점이 확인됐다고 밝혔다. 위원회에 따르면 쿠팡은 지난해 11월 이용약관에 “서버에 대한 제3자의 모든 불법적 접속으로 인한 손해에 대해 책임지지 않는다”는 문구를 신설했다.
개인정보위는 이 조항이 회사의 고의·과실 여부 및 입증 책임을 불명확하게 만들어 개인정보보호법의 취지와 충돌할 소지가 있다고 판단했다.
위원회는 약관 개정을 쿠팡 측에 요구하고, 약관 소관 부처인 공정거래위원회에도 관련 의견을 전달할 예정이다.
회원탈퇴 절차 역시 개선 필요성이 지적됐다. 개인정보위는 쿠팡의 탈퇴 과정이 지나치게 복잡하며 관련 메뉴에 접근하기 어렵다고 설명했다. 특히 유료 서비스인 ‘와우 멤버십’ 이용자의 경우 멤버십 해지가 탈퇴의 필수 조건임에도 다단계 절차와 재확인 과정을 거치도록 설계돼 탈퇴가 사실상 어렵게 운영된 것으로 확인됐다. 잔여 기간이 있는 경우에는 남은 기간이 끝날 때까지 해지가 불가능해 즉시 탈퇴가 불가능하다는 점도 문제로 지적됐다.
이는 개인정보보호법 제38조 4항에서 규정하는 ‘동의 철회 및 처리 정지 절차는 개인정보 수집 절차보다 어렵지 않아야 한다’는 취지에 어긋난다는 설명이다. 개인정보위는 쿠팡이 이용자의 권리 행사가 원활히 이뤄질 수 있도록 탈퇴 절차를 단순하고 명확하게 개선할 것을 촉구했다.
위원회는 이와 함께 지난 3일 긴급 의결 이후 쿠팡이 이행한 조치도 점검했다. 쿠팡은 사고 통지 문구를 ‘노출’에서 ‘유출’로 변경하고 공동현관 비밀번호 등 누락된 항목을 포함해 재통지했으며, 홈페이지 및 앱에 공지문을 게시한 것으로 확인됐다.
그러나 정보가 유출된 배송지 명단에 포함되었음에도 쿠팡 회원이 아닌 사람들에 대한 통지 계획이 구체적으로 마련되지 않은 점, 홈페이지와 앱 공지문의 접근성과 가시성이 떨어지는 점 등은 여전히 보완이 필요한 것으로 나타났다.
개인정보위는 법에 따라 최소 30일 이상 공지를 유지하고, 2차 피해 방지를 위한 전담 대응팀 운영에 만전을 기할 것을 주문했다.
한주연 온라인 기자 ded06040@segye.com
