회원탈퇴·와우 멤버십 해지 절차 복잡…보호법 제38조 위반 소지 제기
유출 통지 재시정 조치 일부 이행했으나 비회원 통지·공지 접근성 미흡
[서울=뉴스핌] 양태훈 기자 = 개인정보보호위원회(이하 개인정보위)가 쿠팡의 개인정보 유출 관련 대응과 처리 실태를 점검한 결과 이용약관·회원탈퇴 절차의 개선을 공식 요구하고, 유출 통지 및 2차 피해 예방 대책의 미흡한 부분에 대해 보완을 촉구했다.
개인정보위는 10일 열린 제26회 전체회의에서 쿠팡의 최근 개인정보 유출 관련 대응 현황과 개인정보 처리 실태를 점검하고, 개선이 필요한 사항을 의결했다고 밝혔다.
우선 개인정보위는 쿠팡이 지난 11월 개정한 이용약관 제38조에 "서버에 대한 제3자의 불법적 접속 등으로 발생한 손해에 책임지지 않는다"는 면책 규정을 추가한 사실을 확인했다. 개인정보위는 이 조항이 개인정보보호법 제29조·제39조·제39조의2에서 규정한 처리자의 안전조치 의무 및 고의·과실 입증 책임 원칙과 상충할 소지가 있다고 판단하고, 이용자 혼란을 초래할 수 있다며 약관 개선을 요구했다. 또한 관련 내용을 약관 소관 부처인 공정거래위원회에도 전달할 계획이다.
회원탈퇴 절차에서도 문제점이 확인됐다. 개인정보위는 쿠팡이 탈퇴 메뉴 접근성을 떨어뜨리고, 유료 서비스인 '와우 멤버십' 해지를 탈퇴의 필수 조건으로 운영하면서 여러 단계를 거치도록 설계해 이용자가 즉각 탈퇴하기 어렵게 했다고 밝혔다. 일부 회원은 멤버십 잔여 기간이 끝나기 전까지 해지가 불가능해 사실상 탈퇴가 지연되는 사례도 있었다. 개인정보위는 이러한 구조가 개인정보보호법 제38조 제4항의 '동의철회 절차는 수집 절차보다 어렵지 않아야 한다'는 규정을 위반할 소지가 있다고 지적하며 탈퇴 절차 간소화와 명확한 안내를 요구했다.
유출 통지 및 2차 피해 예방 조치와 관련해 개인정보위는 지난 3일 긴급 의결 이후 쿠팡의 이행 사항을 점검했다. 쿠팡은 누락됐던 공동현관 비밀번호 등 유출 항목을 포함해 재통지하고, 홈페이지·앱 공지문을 게시하는 등 일부 조치를 이행한 것으로 확인됐다. 그러나 배송지 명단에 포함됐으나 쿠팡 회원이 아닌 사람에 대한 통지 방안이 미흡하고, 공지문의 접근성이 낮다는 문제가 지적됐다. 개인정보위는 법령에 따라 최소 30일 이상 공지하도록 요구하는 한편 2차 피해 방지를 위해 전담 대응팀 운영을 강화할 것을 촉구했다.
최근 쿠팡 계정 정보가 인터넷·다크웹 등에서 유통된다는 의심 사례가 제기되는 점도 고려해 자체 모니터링 및 신속 대응 체계 강화를 요구했다. 개인정보위는 쿠팡에 모든 조치 결과를 7일 이내 제출하도록 했으며, 향후 조사에서 보호법 위반 사항이 확인되면 엄정하게 제재할 방침이라고 밝혔다.
한편 개인정보위는 이번 대규모 개인정보 유출사건의 중대성을 인식하고, 유출 경위 및 보호법 위반사항을 면밀히 조사하고 있으며, 신속·철저한 조사를 통해 쿠팡의 법 위반사항 확인 시 엄정 제재할 계획이다. 더불어 유출 정보를 악용한 2차 피해가 발생하지 않도록 필요한 예방조치도 지속적으로 실시해 나갈 계획이다.
dconnect@newspim.com
