CloudPNG

ºC

logo
IT/바이오

개인정보 탈퇴도 AI처럼 투명하게…쿠팡, 개보위 제재 압박 커진다

정하린 기자
입력

개인정보 보호 규제가 온라인 플랫폼 산업의 새로운 리스크로 부상하고 있다. 대규모 개인정보 유출 사고를 겪은 쿠팡이 최근 회원 탈퇴 절차와 이용약관, 유출 통지 방식 전반에 대해 개인정보보호위원회의 제재 압박을 받으면서다. 업계에서는 이번 조치가 전자상거래 플랫폼을 포함한 디지털 서비스 전반의 개인정보 처리 관행을 재점검하는 계기가 될 수 있다는 관측이 나온다. 규제 당국은 특히 탈퇴와 동의 철회 절차를 수집 단계만큼 쉽게 만들라는 법 취지를 재확인하며, 플랫폼 비즈니스 모델에도 영향을 줄 수 있는 강경 기조를 예고한 셈이다.

 

개인정보보호위원회는 10일 오후 전체회의를 열어 쿠팡의 개인정보 처리 실태와 최근 유출 사고 대응 상황을 점검한 뒤, 이용약관과 회원 탈퇴 절차, 유출 통지 방식 등에 법 위반 소지가 있다며 시정 조치를 요구했다고 밝혔다. 쿠팡은 최근 대규모 개인정보 유출 사고를 계기로 관련 약관을 손질했지만, 개인정보위 판단은 법 취지에 맞게 재정비가 필요하다는 쪽에 무게가 실렸다.

개인정보위가 우선 문제 삼은 부분은 쿠팡이 지난해 11월 이용약관에 추가한 면책 조항이다. 해당 조항은 서버에 대한 제3자의 모든 불법적 접속 등으로 발생하는 손해에 대해 회사가 책임지지 않는다는 내용을 담고 있다. 표면적으로는 해킹과 같은 외부 공격에 대한 포괄적 면책을 선언하는 구조여서, 이용자의 권리와 배상 청구 가능성을 위축시킬 수 있다는 지적이 제기돼 왔다.

 

현행 개인정보보호법은 개인정보처리자가 안전성 확보를 위한 기술적·관리적·물리적 보호조치를 취할 의무를 명시하고 있다. 또 처리자의 법 위반 행위로 정보 주체가 손해를 입으면 손해배상을 청구할 수 있도록 하고, 이때 고의나 과실이 없었다는 점을 처리자가 스스로 입증하도록 규정하고 있다. 사실상 처리자에게 강화된 책임과 입증 부담을 부과하는 구조다.

 

개인정보위는 쿠팡의 면책 조항이 이러한 보호법 체계와 충돌할 소지가 있다고 판단했다. 고의·과실이 있는 경우에도 회사의 책임 범위와 입증 책임이 명확하지 않게 표현돼 있어, 이용자에게 불필요한 혼란을 초래할 수 있다는 설명이다. 이에 쿠팡에 즉각적인 약관 개선을 요구하는 한편, 약관을 총괄하는 공정거래위원회에도 관련 의견을 전달해 부처 간 공조를 강화하기로 했다.

 

회원 탈퇴 절차 역시 도마에 올랐다. 개인정보위 조사 결과, 쿠팡에서 회원 탈퇴를 마치려면 마이 쿠팡 선택, 회원정보 수정 선택, 비밀번호 입력, 탈퇴하기 선택, 탈퇴 안내 동의 및 비밀번호 재입력, 이용 내역 확인, 설문조사, 회원탈퇴 완료까지 총 8단계를 거쳐야 하는 것으로 확인됐다. 탈퇴 메뉴의 접근성도 떨어져 일반 이용자가 경로를 찾기 쉽지 않은 구조라는 점이 함께 지적됐다.

 

유료 서비스인 와우 멤버십 가입자의 경우 상황은 더 복잡했다. 쿠팡은 멤버십 해지를 회원 탈퇴의 필수 선행 조건으로 운영해, 멤버십 해지를 완료해야만 탈퇴 절차를 진행할 수 있도록 했다. 멤버십 해지 과정 역시 8단계에 달해, 실질적으로는 2중 절차를 거쳐야 탈퇴가 가능해지는 셈이다. 일부 회원에 대해서는 멤버십 잔여 기간이 끝날 때까지 해지가 불가능하도록 해 즉각적인 회원 탈퇴가 사실상 차단된 사례도 확인됐다.

 

개인정보보호법 제38조 4항은 개인정보 처리 정지와 동의 철회 방법·절차가 개인정보 수집 방법·절차보다 어렵지 않도록 정하고 있다. 쉽게 가입할 수 있다면, 그만큼 쉽게 탈퇴하고 동의를 철회할 수 있어야 한다는 취지다. 개인정보위는 쿠팡의 사례가 이 조항 위반 소지가 있다고 보고, 이용자 권리 행사를 보장하기 위해 탈퇴 절차를 대폭 간소화하고 관련 정보를 눈에 잘 띄게 공개하라고 촉구했다.

 

개인정보 유출 사고 통지와 공지 방식도 문제로 남았다. 쿠팡은 사건 직후 회원에게 발송한 공지에서 개인정보 유출을 개인정보 노출로 표현해 사고의 심각성을 축소한 것 아니냐는 비판을 받았다. 이후 개인정보위 의결에 따라 유출이라는 용어를 사용하고, 누락됐던 유출 항목인 공동현관 비밀번호를 포함해 재통지했으며, 홈페이지와 앱에 공지문을 게시하는 등 일부 조치는 이행했다.

 

그러나 유출된 배송지 명단에 포함됐지만 쿠팡 회원이 아닌 사람들에 대한 대응은 여전히 미흡했다. 개인정보위는 비회원 정보 주체에 대한 개별 통지 계획이 구체적으로 제출되지 않았고, 홈페이지와 앱 공지문의 접근성과 가시성도 충분하지 않다고 판단했다. 보호법은 대규모 유출 사고 발생 시 30일 이상 공지하도록 하고 있어, 형식적 게시를 넘어 정보 주체가 실제로 인지할 수 있는 안내가 필요하다는 지적이다.

 

또한 개인정보위는 쿠팡에 사고 전담 대응팀을 통한 상시 대응 체계를 강화하라고 주문했다. 최근 쿠팡 계정 정보가 인터넷과 다크웹에서 유통되는 정황이 포착된 만큼, 자체 모니터링을 강화하고 의심 징후 발견 시 즉각적인 차단과 이용자 안내에 나설 것을 요구했다. 쿠팡은 이러한 요구 사항 전반에 대한 조치 결과를 7일 이내 개인정보위에 제출해야 한다.

 

이번 사안을 두고 업계에서는 개인정보위의 조사와 제재 수위에 촉각을 곤두세우고 있다. 대규모 유출 사고가 반복되는 상황에서, 보호법 위반이 확인될 경우 과징금과 형사처벌, 행정명령 등 강도 높은 제재가 뒤따를 가능성이 있기 때문이다. 특히 이용약관과 탈퇴 절차 설계가 플랫폼 비즈니스의 핵심 지점인 만큼, 다른 대형 플랫폼 서비스들도 유사한 구조를 손질해야 할 압박을 받을 수 있다는 분석이 나온다.

 

개인정보위는 이번 쿠팡 유출 사건의 중대성을 고려해 유출 경위와 법 위반 여부를 면밀히 조사 중이라고 밝혔다. 조사 결과에 따라 엄정한 제재에 나서겠다고 예고하면서, 유출 정보 악용에 따른 2차 피해가 발생하지 않도록 필요한 예방 조치를 지속 실시하겠다는 방침을 덧붙였다. 산업계는 쿠팡의 후속 조치와 함께, 개인정보 보호 규제 환경이 전자상거래와 디지털 플랫폼 사업 모델 전반에 어떤 재설계를 요구하게 될지 예의주시하고 있다.

정하린 기자
share-band
밴드
URL복사
#쿠팡#개인정보보호위원회#개인정보보호법