안녕하세요? 개인정보보호위원회 조사2과장 이정은입니다.

개인정보보호위원회는 금일 오후 2시 전체회의를 개최하여 쿠팡의 그간의 대응상황 및 개인정보처리 실태를 점검하였고 그 내용을 간단하게 브리핑하겠습니다.

먼저, 이용약관 관련입니다.

개인정보위는 쿠팡이 작년 이용약관을 개정하면서 서버에 대한 제3자의 모든 불법적인 접속 등으로부터 발생하는 손해에 관하여 책임지지 않는다는 내용의 면책 규정을 추가한 사실을 확인하고 이에 대한 개선을 요구하였습니다.

개인정보보호법상 개인정보처리자는 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하여야 하고, 처리자가 보호법을 위반한 행위로 이용자가 손해를 입으면 손해배상을 청구할 수 있고, 이 경우 처리자가 고의·과실이 없음을 입증하도록 규정을 하고 있습니다.

개인정보위는 쿠팡의 이용약관이 고의·과실로 인한 손해에 대하여 회사의 면책 여부 및 입증 책임에 대하여 불분명하게 규정하여 보호법의 취지와 상충되는 측면이 있고, 이용자에게 불필요한 혼란을 초래하고 있어 쿠팡에 관련 내용에 대한 개선을 요구하였고, 아울러 약관 소관부처인 공정거래위원회에도 의견을 제시할 계획입니다.

다음은 회원 탈퇴 절차 관련입니다.

개인정보위는 쿠팡의 회원 탈퇴 절차가 복잡하고 탈퇴 메뉴를 찾기 어렵게 구성·운영한 사실을 확인하였습니다.

특히 유료 서비스인 와우 멤버십에 가입한 회원의 경우 멤버십 해지를 회원 탈퇴의 필수조건으로 운영하면서 멤버십 해지 절차를 여러 단계에 거치게 하고 해지 의사를 재확인하여 멤버십을 해지하기 어렵게 운영하였습니다.

또한, 일부 회원에 대하여는 멤버십 잔여기간이 종료될 때까지 멤버십 해지를 불가능하게 하여 실질적으로 즉각적인 회원 탈퇴를 할 수 없도록 한 사실을 확인하였습니다.

이에 개인정보위원회에서는 개인정보처리 정지, 동의철회 요구의 방법과 절차가 개인정보의 수집 절차 및 방법보다 어렵지 않게 하여야 한다는 보호법 제38조 제4항 위반 소지가 있는 것으로 판단을 했고, 이용자의 권리행사 보장을 위해 탈퇴 절차를 간소화할 것을 촉구하였습니다.

다음은 유출 통지 및 2차 피해 방지 관련입니다.

유출 통지 및 2차 피해 방지 대응조치와 관련하여 지난 12월 3일 위원회 긴급 의결에 따라 쿠팡 측 조치 결과를 점검하였습니다.

점검 결과 쿠팡은 개인정보 '노출'을 '유출'로 수정하고 누락된 유출 항목을 포함하였고 2차 피해 예방조치를 포함하여 재통지하였으며, 홈페이지와 앱상에 공지문을 게시하는 등 개인정보위 의결사항을 일부 이행한 사실을 확인하였습니다.

그러나 배송지 명단에 포함되어 유출되었으나 쿠팡 회원이 아닌 사람에 대해서는 구체적인 통지 계획을 제출하지 않은 점, 홈페이지·앱 공지문의 접근성 및 가시성이 부족한 점 등을 확인하여 개선을 요구하였고, 관계법령에 따라 30일 이상 공지문을 공지하도록 하였으며, 사고전담대응팀 운영을 철저히 할 것을 요구하였습니다.

또한, 최근 쿠팡 계정 정보의 인터넷 및 다크 웹상 유통 의심 정황에 대한 언론 보도나 신고가 잇따르고 있어서 이에 대한 자체 모니터링을 강화하고 즉각적인 대응체계를 유지할 것을 촉구하였습니다.

끝으로, 개인정보위는 이번 사고의 발생 경위 및 보호법 위반사항을 면밀히 조사하고 있으며, 법 위반 확인 시 엄정 제재할 계획입니다.

더불어 유출 정보를 악용한 2차 피해가 발생하지 않도록 필요한 예방조치도 지속적으로 실시해 나갈 계획입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 면책 규정에 대한 개선을 요구한 게 언제인지 하고요.

그리고 2페이지에 보면 개인정보처리 절차가 위반 소지가 있다고 봤... 법 위반 소지가 있다고 보셨는데 주문은 '촉구'거든요. 법을 위반한 사안에 대해서 개인정보위원회가 기업에 뭘 이걸 좀 해달라고 촉구하는 게 언뜻 이해가 되지 않아서요.

<답변> 면책,

<질문> 강제, 촉구라는 게 강제성이 있는지 설명해 주세요.

<답변> 정확히 말씀드리면 개선 권고를, 쿠팡 측에 개선 권고를 의결한 내용이고요, 법적인 명확한 용어로는. 그런데 법 위반 소지가 있어서 일단은 지금 즉각적인 조치가 필요하기 때문에 저희가 보호법 61조에 따라서 개선조치를 요구하였고, 개선 권고를 하였고, 이게 이행되지 않을 경우에는 저희가 바로 시정조치를, 시정명령이라든가 이런 행정 절차에 따라서 진행될 수 있음을 명시하였습니다.

그리고 앞서서 말씀드린 면책특권과 관련해서 그 부분은 저희가 오늘 그런 내용들을 개선하라는, 쿠팡 측에 개선하라는 이런 개선권고안이 확정되어서 의결이 되었기 때문에 그 부분이 쿠팡 측에 이제 통지가 될 거고요. 그럼 거기에 대한 이행 결과를 7일 이내에 쿠팡에서 제출하도록 되어 있고, 이와 함께 약관은 사실 공정거래위원회 소관이기 때문에 약관 개정과 관련해서는 공정거래위원회와 협의할 수 있도록 저희가 공정위 측에 의견도 제시하고 이런 적극적인 역할을 할 예정입니다.

<질문> ***

<답변> 네, 오늘 의결이 되었기 때문에 관련된 서명 절차가 완료되면 바로 저희가 의결, 관련된 심의의결서를 제출할 예정입니다.

<질문> ***

<답변> 오늘로 추정, 저희가 예상하고 있습니다. 아직 저희가 나간 게 아니라서요.

<질문> *** 추후 소비자 분쟁 과정에서 이 약관이 효력을 가진다, 가지지 않는다, 이거는 지금 판단할 수 없는 것인지.

<답변> 그거는 저희가 판단하기는 조금 어려운 부분이고요. 그 부분은 공정위에서도 소관 약관규제법에 따라서 이런 면책 규정의, 면책 조항의 효력에 대해서 볼 수 있는, 보고 있는 부분들이 있기 때문에 그 부분에서 명확하게 판단을 할 수 있을 것으로 보입니다.

<질문> ***

<답변> 네, 맞습니다.

<질문> ***

<답변> 조치, 조치 결과를 제출토록 저희가 의결하였습니다.

<질문> ***

<답변> 기본적으로는 조치를 해서 결과를 제출하도록 하고 있고요. 부득이하게 이게 조금 시간이 오래 걸리는 경우에는 계획을 제출하는 경우도 있기는 하지만 기존에 저희가 지난주에 의결했던 부분도 대다수 부분은 일부 오늘 추가 요구가 나간 부분을 제외하고는 조치 결과를 제출하였습니다.

<질문> 여기 유출 통지 및 2차 피해 방지 관련 부분을 보면 쿠팡이 개인정보 의결사항 일부를 이행하고 또 일부는 이행하지 않았다고 나와 있는데요. 이행하지 않은 부분에 대해서 쿠팡이 그 이유를 설명한 게 있다면 좀 부탁드립니다.

<답변> 별도로 이유를 달아서 설명한 거는 아니고요. 말씀드린 것처럼 배송지 목록에 포함되어... 명단에 포함되어 있는 이용자, 고객에 대해서는 '확정되는 대로 통지하겠다.' 정도의 문구 정도만 있어서, 저희가 봤을 때는 이 명단에 포함되는 분들은 사실 본인이 쿠팡 고객이, 회원이 아니기 때문에 이 쿠팡 유출 사건과 무관하다고 여기실 확률이 더 높고, 그렇기 때문에 적극적으로 2차 피해 방지를 위한 대응이라든가 이런 노력에 조금 소홀해하실, 오히려 더 취약한 분들이기 때문에 즉각적인 통지가 필요하다, 라고 저희가 판단을 했고 이 부분에 대해서 시급히 통지를 하도록 그렇게 조치를 요구했습니다.

<질문> 안녕하세요? 어제 제가 쿠팡 탈퇴를 한 번 해봤는데, 그러니까 기존에 얘기하던 7단계 복잡한 절차가 아니라 약간 간소화됐더라고요. 혹시 거기에 대해서도,

<답변> 네, 맞습니다.

<질문> 통지를 받으셨는지? 그런데 여기 보도자료 보면 '쉽게 하도록 간소화하고 공개할 걸 촉구하였다.' 이렇게 하셨는데 이행이 어느 정도 된 걸로 보시는지? 아니면 또 추가로 이행과...

<답변> 지금 저희가 적시한 뒤에, 그 보도자료 뒤에 '붙임'으로 해서 사진으로 단계별로 이렇게 붙여 놓은 부분이 사실 개선된 이후의 절차입니다. 그래서 그거를 조금 그림을 비교해 보시면 확실히 회원 가입 절차보다는 탈퇴 절차가 좀 많이 복잡하다는 것들을 조금 확인하실 수 있을 거고요.

특히 와우 멤버십 회원 같은 경우에는 회원 탈퇴 절차를 진행하다가 와우 멤버십 회원인 경우에는 다시 멤버십 해지로 돌아가서 멤버십 해지 절차를 전부 다 완료하고 나서 다시 회원 탈퇴 절차, 처음부터 다시 시작해서 이 모든 과정을 다 거쳐야지만 탈퇴가 되도록 되어 있고, 일부 회원의 경우에는 저희가 보도자료에 적시한 것처럼 잔여기간이 남아 있으면 멤버십 해지가 안 되기 때문에, 해지가 안 되면 회원 탈퇴도 불가능한, 즉각적으로 불가능한 상황이어서 이런 부분은 개선이 필요하다고 봤습니다.

<질문> ***

<답변> 저희가 이미 12월 7일에 개선을 했다는 내용들을 확인하고 나서 그다음에 저희가 이 부분을 판단한 부분이라서요. 지금 현재 기준으로 좀 부족하다, 라고 보고 이 부분에 대해서 개선이 필요하다, 라고 오늘 의결이 나간 부분입니다.

<질문> ***

<답변> 일부... 네, 말씀하시는 게 아마 PC 버전에서만 되던 게 이제 앱상에서도 가능하도록 하고, 설문조사 부분이 원래 필수로 기입해야 됐는데 선택사항으로써 기입을 안 하더라도 넘어갈 수 있고, 크게 보면 그거 두 가지 정도인 것 같은데 그거로는 충분하지 않았다, 라고 저희가 내부에서 판단을 했습니다, 회의에서.

<질문> *** 개인정보위가 추가적으로 할 수 있는 게 있습니까?

<답변> 지금은 저희가 시급한 조치가 개선이 우선이라고 판단을 했기 때문에 개선 권고를 의결을 한 거고요. 그 부분에 대해서 조치가 이루어지지 않거나 불충분하다, 라고 판단이 되면 그 부분은 저희가 명확하게 시정명령이라든가, 시정명령으로 내릴 수가 있고 시정조치가 이루어지지 않으면 그 부분은 이제 또 과태료 부과까지 이어질 수 있는 부분이기 때문에 그런 부분들은 절차적으로는 가능하다, 라는 말씀드릴 수 있을 것 같습니다.

<질문> ***

<답변> 절차 때문입니다. 행정절차법상 시정명령 같은 경우는 법 위반을 완벽하게 확정해야 되고, 그 이후에 사전 통지하고 의견 수렴 절차를 거쳐서 위원회에서, 시정명령도 처분이기 때문에 처분을 의결하는 이런 일련의 절차들이 굉장히 있어서 그런 부분들이 프로세스상 시간이 소요되기 때문에 즉각적인 개선조치를 위해서 개선 권고를 먼저 의결한 부분이고요. 그 부분이 제대로 이행되지 않으면 이제 추가적인 조치가 이어진다, 라고 보시면 될 것 같습니다.

<질문> 안녕하세요? 1페이지에서 질문이 있는데요. 먼저, 개인정보위는 쿠팡이 2024년 11월 이용약관에 대해... 이용약관에 '서버에 대한 제3자의 모든 불법적 접속 등으로부터 발생하는 손해에 관해 책임지지 않는다는 내용의 면책 규정을 추가한 사실을 확인하고 이에 대한 개선을 요구하였다.' 이런 문구가, 문장이 있는데요. 이걸 보면 지금 쿠팡 개인정보 유출사고가 발생한 시점 이전인지, 이전에 이런 내용의 규정을 추가한 건지, 아니면 그 이후에 추가한 건지, 그러니까 사고 이후에 추가한 건지 좀 잘 모르겠어서 여쭤보려고요, 시점.

<답변> 약관이 개정된 시점은 2024년 11월이 맞고요. 근데 사건이 발생한 시점이라고 보시면 결국은 사건 조사가 끝나 봐야지 처음에 인지한 시점이 언제였고 얼마나 지속됐는지 여부나 이런 부분들이 완벽하게 규명이 될 것 같은데, 그 부분에 대해서는 제가 지금 단계에서는 이게 그전이다, 후다, 이렇게 명확하게 말씀드리기에는 조금 이른 감이 있는 것 같습니다.

현재 쿠팡 측에서 밝힌 바로는 그리고 알려진 바로는 금년 상반기부터 해서 이런 불법적인 침입과 이런 유출 시도가 있었다, 라는 부분들은 언론을 통해서도 많이 알려졌는데 이런 부분들은, 이런 유출 시도나 이런 위반행위의 지속기간 같은 것들은 저희가 조사를 완벽하게 끝내야지만 이 기간에 대한 확정이라든가 이런 것들도 가능하기 때문에 그때는 추후에 그 부분은 명확하게 말씀드릴 수 있을 것 같습니다.

<답변> (사회자) 또 추가 질문 있으실까요? 그럼 없으시면 이상으로 브리핑을 마치겠습니다. 감사합니다.

<끝>

이전다음기사

다음기사행정심판 재결 사례 발표