개보위, 쿠팡 ‘불법 접속’ 면책 규정에 “보호법과 상충” 지적

[산업일보]
개인정보보호위원회가 쿠팡이 지난해 이용약관을 개정하며 제3자의 모든 불법적인 접속에서 발생하는 손해를 책임지지 않겠다는 내용의 면책 규정을 추가한 사실을 확인하고, 개선을 요구했다.

개보위 이정은 조사2과장은 10일 서울정부종합청사에서 쿠팡의 개인정보 유출 사태에 대한 대응상황 및 개인정보처리 실태 점검 내용을 브리핑했다.

발표에 따르면, 개인정보보호법(이하 보호법)상 개인정보처리자는 개인정보 유출 방지에 필요한 기술적·관리적·물리적 조치를 해야 한다. 또한 처리자가 보호법을 위반한 행위로 이용자가 손해를 입으면 손해배상을 청구할 수 있고, 처리자가 고의·과실을 입증하도록 규정하고 있다.

개보위는 쿠팡의 이용약관이 고의·과실로 인한 손해에 대해 회사의 면책 여부 및 입증 책임을 불분명하게 규정하고 있어 보호법의 취지와 상충된다고 판단했다. 이로 인해 이용자에게 불필요한 혼란을 초래하고 있어 쿠팡에 개선을 요구했고, 약관 소관부처인 공정거래위원회에도 의견을 제시할 계획이다.

쿠팡의 회원탈퇴 절차도 복잡하고, 탈퇴 메뉴를 찾기 어렵게 구성했다고 지적했다. 특히 유료 서비스인 와우 멤버십 이용자의 경우, 멤버십 해지를 회원탈퇴의 필수조건으로 운영하고 그 절차를 여러 단계에 거치게 했다.

일부 회원의 경우 멤버십 잔여기간이 종료 될때까지 해지를 불가능하게 해 즉각적인 탈퇴를 어렵게 하기도 했다.

개보위는 쿠팡의 이러한 행위가 보호법 제38조 4항 위반 소지가 있다고 보고, 이용자 권리 행사 보장을 위해 탈퇴 절차 간소화를 함께 촉구했다.

개인정보 유출 통지와 2차 피해 방지가 적절했는지도 살폈다.

3일 개보위 긴급 의결에 대한 쿠팡의 조치를 점검한 결과, 쿠팡은 개인정보 ‘노출’을 ‘유출’로 수정하고 누락된 유출 항목을 포함했다. 또 2차 피해 예방조치를 포함해 재통지했으며 홈페이지와 앱상에 공지문을 게시하는 등 개보위 의결사항을 일부 이행했다.

그러나 배송지 명단에 포함돼 유출됐으나 쿠팡 비회원인 사람에게는 구체적 통지 계획을 제출하지 않은 점, 홈페이지·앱 공지문의 접근성과 가시성이 부족한 점을 확인해 추가 개선과 함께, 관계 법령에 따라 30일 이상 공지문 유지와 사고 전담 대응팀 운영을 철저히 할 것을 요구했다.

더불어, 쿠팡 계정 정보의 인터넷·다크웹 유통 의심 정황에 대한 자체 모니터링을 강화하고 즉각적인 대응체계를 유지하도록 했다.

이정은 조사2과장은 “개보위는 이번 사고의 발생 경위와 보호법 위반 사항을 면밀히 조사하고 있다”라며 “유출 정보를 악용한 2차 피해가 발생하지 않도록 필요한 예방조치도 지속적으로 실시하겠다”라고 밝혔다.