개인정보보호위원회는 개인정보 유출사고가 발생한 쿠팡에 탈퇴절차를 간소화하고, 제3자의 불법적 접속 손해 면책 규정을 개선하라고 요구했다.

개인정보위는 지난 10일 제26회 전체회의를 열어 쿠팡의 개인정보 유출 대응상황과 개인정보 처리실태를 점검했다며 이같이 밝혔다.

먼저, 개인정보위는 쿠팡이 지난해 11월 이용약관에 서버에 대한 제3자의 모든 불법적 접속 등으로부터 발생하는 손해에 대해 책임지지 않는다는 내용의 면책 규정을 추가한 사실을 확인하고 이에 대한 개선을 요구했다.

개인정보보호법상 개인정보처리자는 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 하며, 처리자가 보호법을 위반한 행위로 이용자가 손해를 입으면 손해배상을 청구할 수 있고, 이 경우 처리자가 고의·과실이 없음을 입증하도록 규정하고 있다.

개인정보위는 쿠팡의 이용약관이 고의·과실에 따른 손해에 대한 회사의 면책 여부 및 입증 책임을 불분명하게 규정해 보호법의 취지와 상충하는 측면이 있고 이용자에게 불필요한 혼란을 초래해 쿠팡에 관련 내용에 대한 개선을 요구하는 한편, 약관 소관 부처인 공정거래위원회에도 의견을 제시할 계획이다.

또한 개인정보위는 쿠팡이 회원탈퇴 절차를 복잡하고 탈퇴 메뉴를 찾기 어렵게 구성해 운영한 사실을 확인했다.

특히 유료 서비스인 와우 멤버십에 가입한 회원의 경우 멤버십 해지를 회원탈퇴의 필수 조건으로 하면서 멤버십 해지 절차를 여러 단계 거치게 하고, 해지 의사를 재확인해 멤버십을 해지하기 어렵게 했다.

일부 회원에 대해 멤버십 잔여기간이 종료될 때까지 멤버십 해지를 불가능하게 해 실질적으로 즉각적인 회원 탈퇴를 할 수 없도록 한 사실을 확인했다.

와우 멤버십은 무료배송, 신선배송, 전용 상품 할인, OTT 무료이용 등의 구독 서비스를 제공하는 쿠팡의 유료 월정액 멤버십이다.

이에 대해 개인정보위는 개인정보 처리정지·동의철회 요구의 방법과 절차가 개인정보의 수집 방법과 절차보다 어렵지 않게 해야 한다는 개인정보보호법 내용의 위반 소지가 있는 것으로 판단하고, 이용자의 권리행사 보장을 위해 탈퇴 절차를 간소화하고 정보주체가 쉽게 알 수 있도록 공개하라고 촉구했다.

아울러 개인정보위는 유출통지 및 2차 피해 방지 대응 조치와 관련해 지난 3일 개인정보위의 긴급 의결에 따른 쿠팡 측 조치결과를 점검했다.

점검 결과, 쿠팡은 개인정보 노출을 유출로 수정하고 누락된 유출항목(공동현관 비밀번호) 및 2차 피해 예방조치를 포함해 재통지했으며, 홈페이지 및 앱상에 공지문을 게시하는 등 개인정보위 의결사항을 일부 이행한 사실을 확인했다.

다만, 배송지 명단에 포함돼 유출됐으나 쿠팡 회원이 아닌 사람에 대해서는 구체적인 통지계획을 제출하지 않은 점과 누리집(홈페이지)과 앱 공지문의 접근성과 가시성이 부족한 점 등을 확인해 개선을 요구했다. 개인정보보호법에 따라 30일 이상 공지하도록 했으며 2차 피해 예방을 위해 쿠팡 측에 사고 전담 대응팀 운영을 철저히 하라고 요구했다.

이와 함께 개인정보위는 최근 쿠팡 계정 정보의 인터넷 및 다크웹상 유통 의심 정황 등에 대한 언론보도나 신고가 잇따르고 있어, 쿠팡측에 자체 모니터링과 즉각적인 대응 체계를 강화하라고 촉구했으며 이상의 요구사항에 대해 7일 이내 조치결과를 제출하도록 했다.

한편 개인정보위는 이번 대규모 개인정보 유출사건의 중대성을 인식하고, 유출 경위 및 개인정보보호법 위반사항을 면밀히 조사하고 있으며, 쿠팡의 법 위반사항을 확인하면 엄정 제재할 계획이다.

문의: 개인정보보호위원회 조사2과(02-2100-3157, 3159), 한국인터넷진흥원 유출조사팀(061-820-2853, 2859)