서울 송파구 쿠팡 본사 인근 신호등에 빨간불이 켜져 있는 모습. 임세준 기자

[헤럴드경제=박혜림 기자] 개인정보보호위원회가 쿠팡의 개인정보 처리 실태를 점검한 결과, 이용약관·회원탈퇴 절차·유출 통지 방식 등 여러 부분에서 법 위반 소지가 있다고 판단하고 즉각적인 개선을 권고했다.

개인정보위는 10일 제26회 전체회의에서 쿠팡의 최근 개인정보 유출 관련 대응 현황과 개인정보 처리 실태를 점검하고, 개선이 필요한 사항을 의결했다고 밝혔다.

특히 지난 11월 쿠팡이 약관에 추가한 ‘서버에 대한 제3자의 불법적 접속으로 발생하는 손해에 대해 책임지지 않는다’는 면책 규정이 문제로 지적됐다. 개인정보보호법은 개인정보처리자가 안전조치를 다해야 할 의무(제29조)와 고의·과실이 없음을 입증해야 할 책임(제39조)을 규정하고 있는데, 쿠팡 약관은 이러한 취지와 상충돼 이용자 혼란을 초래할 수 있다는 것이다. 개인정보위는 관련 조항을 개선하라고 요구하는 한편, 약관 소관부처인 공정거래위원회에도 의견을 전달할 계획이다.

회원탈퇴 절차 역시 부적절한 운영으로 지적됐다. 개인정보위는 쿠팡이 탈퇴 메뉴를 찾기 어렵게 구성했을 뿐 아니라, 유료 서비스인 ‘와우 멤버십’ 해지를 탈퇴의 필수 조건으로 묶어 여러 단계를 거치도록 한 점을 확인했다. 일부 회원은 멤버십 잔여 기간이 끝날 때까지 해지가 불가능해 사실상 즉시 탈퇴가 막히는 구조였다. 이는 개인정보 수집보다 동의철회·처리정지가 더 어렵게 설계되어서는 안 된다는 개인정보보호법 제38조 제4항 위반 소지가 있다는 게 개인정보위 판단이다.

개인정보 유출 통지 과정에서도 미흡한 부분이 드러났다. 개인정보위는 지난 3일 긴급의결 이후 쿠팡이 누락된 유출 항목을 포함해 재통지한 사실, 홈페이지·앱 공지문을 게시한 점 등 일부 조치는 이행했다고 인정했다. 그러나 배송지 명단에 포함돼 유출됐음에도 쿠팡 회원이 아닌 사람들에 대한 별도 통지 계획이 제출되지 않은 점, 공지문의 접근성과 가시성이 떨어지는 점 등을 문제로 지적했다. 개인정보위는 법에 따라 최소 30일 이상 공지를 유지하도록 요구하고, 2차 피해 예방을 위한 사고 전담팀 운영을 강화하라고 주문했다.

최근 쿠팡 계정 정보가 인터넷·다크웹에서 유통된다는 언론보도와 신고가 이어지는 점도 언급됐다. 개인정보위는 쿠팡에 자체 모니터링을 강화하고 즉각 대응 체계를 갖출 것을 촉구했다.

개인정보위는 이번 유출 사고의 중대성을 고려해 쿠팡의 법 위반 여부를 면밀히 조사하고 있으며, 위반 사실이 확인될 경우 엄정 제재하겠다는 방침이다. 동시에 유출 정보 악용 등 2차 피해가 발생하지 않도록 지속적으로 예방 조치를 추진할 계획이다.

쿠팡은 개인정보위가 이날 요구한 개선 사항에 대해 7일 이내에 조치 결과를 제출해야 한다.