“개인정보 유출 책임 불명확” 쿠팡 약관 손질 압박 커진다

개인정보 유출 사고 이후 쿠팡의 책임 범위와 이용자 권리 보호를 둘러싼 논란이 정면으로 제기됐다. 개인정보보호위원회가 쿠팡 이용약관에 포함된 제3자 불법접속 관련 면책 조항을 개인정보보호법 체계와 충돌할 소지가 있다고 보고, 7일 이내 수정하라고 권고했다. 8단계에 이르는 회원 탈퇴 절차, 유료 멤버십 가입자의 탈퇴 제약, 비회원 피해자에 대한 통지 미흡 등도 함께 도마에 올랐다. 업계에서는 전자상거래 플랫폼 전반의 약관과 개인정보 처리 관행을 다시 점검해야 할 분기점으로 보는 시각이 나온다.

개인정보보호위원회는 10일 전체회의를 열고 쿠팡의 개인정보 유출 대응 상황과 처리 실태를 점검한 뒤 이 같은 개선 권고를 의결했다. 핵심은 쿠팡이 지난해 11월 이용약관에 추가한 면책 규정이다. 해당 조항은 서버에 대한 제3자의 모든 불법적 접속 등으로 발생하는 손해에 대해 회사가 책임지지 않는다는 내용을 담고 있다. 개인정보위는 이 문구가 고의나 과실에 따른 손해에서 회사의 책임이 어디까지인지, 입증 책임이 누구에게 있는지를 모호하게 만들어 이용자에게 불리한 혼란을 유발한다고 판단했다.

현행 개인정보보호법은 개인정보처리자에게 유출 방지를 위한 기술적, 관리적, 물리적 보호 조치를 취할 의무를 부과하고 있다. 정보 주체가 손해를 입은 경우 손해배상을 청구할 수 있으며, 이때 처리자가 고의나 과실이 없었다는 점을 스스로 입증해야 한다고 명시한다. 그럼에도 불구하고 쿠팡 약관이 포괄적 면책을 선언하는 형태를 취하면서 법의 책임 구조를 사실상 약화시키려 한다는 지적이 제기된 것이다. 개인정보위는 약관 소관 부처인 공정거래위원회에도 이 문제를 공식적으로 알리고 의견을 제출할 계획이다.

쿠팡의 회원 탈퇴 절차 역시 규제 당국의 문제 제기를 피하지 못했다. 현재 쿠팡에서 탈퇴하려면 마이 쿠팡 진입, 회원정보 수정 선택, 비밀번호 입력, 탈퇴하기 선택, 탈퇴 안내 동의 및 비밀번호 재입력, 이용내역 확인, 설문조사, 최종 탈퇴 완료로 이어지는 8단계를 거쳐야 한다. 이정은 개인정보위 조사2과장은 브리핑에서 쿠팡이 최근 설문조사를 선택 입력 항목으로 바꾸는 등 일부 절차를 손질했지만, 이용자가 체감하는 부담을 줄이기에는 여전히 부족하다고 평가했다. 특히 탈퇴 경로가 화면 구조 깊숙이 숨어 있고, 비밀번호 입력 등 동일 단계가 반복되는 구조는 사실상 이탈을 억제하는 장치로 작동할 수 있다는 지적이다.

유료 서비스인 와우 멤버십과 관련된 운용 방식도 문제가 됐다. 쿠팡은 와우 멤버십에 가입한 이용자가 회원 탈퇴를 시도할 경우 멤버십 해지를 탈퇴의 필수 조건으로 묶어 두고, 이 과정에서도 8단계 절차를 그대로 거치게 했다. 일부 회원의 경우 멤버십 잔여 기간이 끝나기 전까지 해지가 불가능하게 설정해 사실상 즉각적인 회원 탈퇴가 차단되는 사례도 확인됐다. 개인정보위는 개인정보 처리 정지나 동의 철회 방법이 개인정보 수집 절차보다 어렵지 않게 해야 한다는 개인정보보호법 제38조 제4항에 어긋날 소지가 있다고 해석했다. 전자상거래 플랫폼이 가입과 이용은 쉽게, 탈퇴와 권리 행사는 어렵게 설계하는 구조적 관행에 대해 규제 공세가 강해지는 흐름으로 해석된다.

쿠팡의 사고 공지 방식과 피해 통지 전략도 도마에 올랐다. 개인정보위 긴급 의결 이후 쿠팡은 통지문에서 개인정보 노출이라는 표현을 개인정보 유출로 바꾸고, 누락됐던 공동현관 비밀번호 항목을 추가하는 등 일부 수정 작업을 진행했다. 그러나 배송지 명단에 포함돼 정보가 함께 유출됐지만 쿠팡 회원이 아닌 사람들에 대해서는 어떤 방식과 일정으로 통지할지 구체적인 계획을 내지 않았다. 홈페이지와 모바일 앱 내부 공지 역시 화면 상단 고정이나 팝업 형태가 아닌 방식으로 제공돼 접근성과 가시성이 떨어진다는 지적을 받았다.

개인정보위는 특히 비회원 피해자의 취약성을 강조했다. 유출 명단에 포함된 비회원은 자신이 피해 대상이라는 사실을 인지하지 못할 가능성이 높아 스미싱, 스팸, 계정 탈취 등 2차 피해에 더 쉽게 노출될 수 있다. 그럼에도 쿠팡이 추후 통지하겠다는 수준의 포괄적 계획만 제시한 것은 충분한 보호 조치로 보기 어렵다는 것이 규제 당국의 판단이다. 개인정보위는 이메일, 문자 메시지, 우편 등 수단을 동원한 즉각적인 개별 통지와 함께 비밀번호 변경 유도, 추가 인증 절차 강화 등 실질적 보호 조치를 병행하라고 주문했다.

또한 최근 쿠팡 계정 정보가 인터넷 포럼과 다크웹에서 유통되고 있다는 의심 정황에 대해 쿠팡 측에 상시 모니터링과 신속 대응 체계 구축을 요구했다. 글로벌 차원에서 개인정보 유출 사고 이후 계정 정보가 다크웹을 통해 거래되고, 이를 활용한 공격이 연쇄적으로 발생하는 패턴이 반복되는 상황에서, 단순 사고 통지에 그치지 않고 위협 인텔리전스 기반의 사후 대응 역량을 높이라는 메시지로 읽힌다.

쿠팡은 개인정보위의 개선 권고를 통보받은 날로부터 7일 이내에 조치 결과를 제출해야 한다. 개인정보위는 권고 이행이 미흡할 경우 시정명령, 과태료 부과 등 후속 제재에 나설 수 있다고 강조했다. 이번 유출 사건의 규모와 파급력이 크다고 보고 유출 경위와 보호법 위반 사항을 면밀히 조사 중이며, 조사 결과에서 법 위반이 확인되면 엄정한 제재 수위를 검토하겠다는 입장이다.

전문가들 사이에서는 이번 조치가 개별 기업을 넘어 온라인 플랫폼 산업 전반의 개인정보 보호 수준과 이용자 권리 보장 체계를 재정비하는 계기가 될 수 있다는 분석이 나온다. 약관 문구 하나, 탈퇴 버튼의 위치 하나가 법 규정 취지와 어긋날 경우 규제 리스크로 직결되고, 데이터 기반 비즈니스 신뢰도에도 영향을 미치는 국면이기 때문이다. 산업계는 쿠팡 사례 이후 약관과 내부 프로세스를 선제 점검하고, 기술적 보안뿐 아니라 절차적 투명성과 이용자 편의성을 어떻게 끌어올릴지 주시하고 있다. 기술과 윤리, 산업과 제도 간 균형이 데이터 경제의 지속 성장을 가르는 조건으로 부상하는 모습이다.