CloudPNG

ºC

logo
IT/바이오

쿠팡 해킹 면책조항 뺀다…보안책임 전환 신호탄

강다은 기자
입력

이커머스 플랫폼 쿠팡이 서버 해킹과 불법 접속 등으로 발생한 손해에 대해 책임지지 않겠다고 명시했던 기존 약관 조항을 삭제한다. 개인정보 침해 사고가 대형 플랫폼을 중심으로 반복되는 가운데, 플랫폼 사업자의 보안·배상 책임을 둘러싼 규제 환경이 강화되는 흐름과 맞물린 조정으로 해석된다. 특히 개인정보보호위원회의 시정 권고를 수용해 면책 조항을 손질하고 통지 기준을 구체화하면서, 온라인 서비스 업계 전반의 약관·보안 리스크 관리 기준이 한 단계 상향될 가능성도 거론된다.  

 

19일 업계에 따르면 쿠팡은 18일 자로 이용 약관 개정을 공지하고, 제38조 회사의 면책 조항 중 해킹과 관련된 7항을 삭제하기로 했다. 개정 약관은 26일부터 적용된다. 삭제 대상은 서버에 대한 바이러스, 스파이웨어, 악성 프로그램 침투뿐 아니라 제3자의 모든 불법적 접속·이용, 이를 방지하는 과정에서 발생하는 손해에 대해서도 회사의 책임을 제한하던 내용이다. 사실상 전형적인 해킹 면책 조항에 해당하는 부분이 사라지는 셈이다.  

쿠팡은 이번 변경의 배경에 대해 약관 문구를 더 명확히 하기 위한 정비라는 입장을 내놓았다. 다만 시장에서는 개인정보보호위원회가 최근 해당 면책 조항에 문제를 제기하며 수정을 권고한 점에 주목한다. 개보위는 10일, 고의나 과실로 인한 손해에 대해 회사의 면책 여부와 입증 책임이 불명확하다며 7일 이내 면책 규정을 고치라고 권고한 바 있다. 고의·과실이 있음에도 해킹을 이유로 포괄 면책하는 문구는 개인정보보호법 체계와 충돌할 소지가 있다는 판단이 반영된 것으로 볼 수 있다.  

 

약관 개정은 통지 방식과 개인정보 보호 조항 전반에도 걸쳐 이뤄졌다. 우선 제3조 약관의 명시와 설명 및 개정과 관련해, 쿠팡은 변경 사항 적용일자 7일 전까지 사이버몰 화면에 공지하도록 하던 기존 규정을 손질했다. 앞으로는 변경일 7일 전부터 쿠팡 애플리케이션과 웹 화면에 동시에 공지하도록 명시해 이용자 접근성을 높였다.  

 

회원에게 불리하거나 중대한 사항의 변경에 대해서는 통지 방식도 더 엄격해졌다. 개정 조항은 적용일자 30일 전까지 전자우편, 단문문자 서비스, 전화, 팩스 등 개별 수단을 통해 회원에게 직접 알리도록 하는 내용을 담았다. 그동안 화면 공지에 의존하던 관행에서 벗어나, 민감한 약관 변경일수록 개별 통지를 강화하는 방향으로 진화하는 흐름에 부합하는 조정이다.  

 

제13조 개인정보보호 조항 역시 외부 법체계를 보다 명확히 끌어들였다. 쿠팡은 개인정보 처리 절차와 기준, 개인정보 관리, 이용자의 권리, 고의·과실에 대한 입증 책임 등에 관해 회사 내부 규정만을 앞세우던 기존 구조를 바꿔, 개인정보 보호법과 회사의 개인정보 처리방침을 함께 적용한다는 문구로 변경했다. 내부 약관보다 상위 법인 개인정보 보호법의 기준을 전면 명시함으로써, 추후 분쟁 시 법률 기준을 우선 적용하겠다는 신호로도 해석된다.  

 

플랫폼 기업이 해킹 면책 조항을 정면에서 삭제한 것은 규제 환경 변화의 상징적 사례로 받아들여진다. 그간 온라인 서비스 약관에는 해킹, 서비스 장애, 제3자 불법 행위 등 예측하기 어려운 리스크를 이유로 사업자의 책임을 넓게 제한하는 문구가 광범위하게 삽입돼 왔다. 기술적 보안 조치를 소홀히 한 정황이 있어도, 약관을 근거로 손해 배상을 축소하거나 거부하는 사례가 우려된다는 지적도 꾸준히 나왔다. 이번 조정은 최소한 고의·과실이 있는 경우까지 포괄 면책하는 관행에 제동을 거는 방향으로 작용할 수 있다.  

 

글로벌 차원에서는 개인정보 보호와 보안 책임을 둘러싼 규제가 빠르게 강화되는 추세다. 유럽연합 일반개인정보보호규정은 데이터 유출 사고 발생 시 기업의 안전조치 의무와 통지 의무를 엄격히 규정하고 있으며, 미국에서도 주별 데이터 브리치 통지법을 통해 소비자 고지와 배상 구조를 촘촘히 만들고 있다. 국내에서도 개인정보보호법과 전자상거래법을 중심으로 유사한 흐름이 이어지는 가운데, 쿠팡의 약관 개정은 국내 플랫폼이 글로벌 규제 수준을 의식하고 있는 단면으로도 읽힌다.  

 

정보보호 업계에서는 이번 조치를 계기로, 온라인 쇼핑과 디지털 서비스 전반에서 보안 투자와 사고 대응 체계 고도화 요구가 커질 것으로 내다본다. 한 보안 전문가는 플랫폼이 해킹 면책 조항을 줄이면 보안 실패의 비용이 약관이 아니라 실제 배상과 시스템 개선으로 돌아가기 때문에, 사내 보안 조직의 역할과 예산 배분이 더 중요해질 수 있다고 분석했다.  

 

쿠팡의 약관 개정은 소비자 권리 보호 측면에서 긍정적인 변화라는 평가와 함께, 다른 대형 플랫폼과 핀테크, 모빌리티, 디지털 헬스케어 서비스로까지 유사한 규정 정비가 확산될지 여부에도 관심이 쏠린다. 산업계는 강화되는 규제와 이용자 보호 요구 속에서, 개정 약관이 보안 책임 구조 재편의 출발점이 될지 예의주시하고 있다.

강다은 기자
share-band
밴드
URL복사
#쿠팡#개인정보보호위원회#개인정보보호법