컨텐츠 바로가기

    12.10 (수)

    정부, “해킹은 책임 안 진다”는 쿠팡에 개선 요구…‘탈팡’도 쉬워질 듯

    댓글 첫 댓글을 작성해보세요
    주소복사가 완료되었습니다
    중앙일보

    쿠팡의 개인정보 유출 사고와 관련해 경찰이 9일 서울 송파구 쿠팡 본사에 대해 압수수색을 진행했다. [중앙포토]

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    정부가 대규모 회원 정보가 유출된 쿠팡에 탈퇴 절차를 간소화하라고 요구했다. 제3자의 불법적 접속에 의한 정보유출 피해는 책임지지 않는다는 약관도 고치도록 했다.

    개인정보보호위원회(개인정보위)는 10일 정부서울청사에서 전체회의를 열고 이같이 의결했다.

    개인정보위, 전체회의 의결

    중앙일보

    이정은 개인정보보호위원회 조사2과장이 10일 서울 종로구 정부서울청사에서 개인정보 보호조치에 대한 개선권고에 관한 브리핑을 하고 있다. [뉴스1]

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    개인정보위에 따르면, 앞서 쿠팡은 지난 2024년 11월 ‘서버에 대한 제3자의 불법적 접속 등으로 발생한 손해에 책임지지 않는다’는 내용을 이용약관 제38조에 추가했다. 쉽게 말해 이번 사태와 같이 불법적 접속에 의해 정보가 유출된 경우, 이로 인한 손해는 쿠팡이 책임지지 않는다는 것이다.

    쿠팡의 이런 면책 규정에 대해 정부는 “개인정보보호법 제29조·제39조·제39조의2가 규정한 처리자의 안전조치 의무 및 고의·과실 입증 책임 원칙과 상충할 소지가 있다”고 판단했다. 개인정보보호법은 개인정보처리자의 위법한 행위로 이용자가 손해를 입으면 손해배상을 청구할 수 있다고 규정하고 있다.

    때문에 개인정보위는 이날 전체회의에서 쿠팡에 약관 38조 개선을 요구했다. 또한 관련 내용을 약관 소관 부처인 공정거래위원회에도 전달할 계획이다.

    “손해 면책 조항 개선해야”

    중앙일보

    서울 송파구 쿠팡 본사 사무실에서 압수수색을 마친 경찰들이 압수품을 옮기고 있다. [뉴스1]

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    쿠팡의 회원 탈퇴 절차도 문제가 있었다. 쿠팡의 대규모 해킹 사태 이후 일부 국내 이용자들은 이른바 ‘탈팡(쿠팡+탈퇴)’이나 ‘쿠팡 디톡스’ 운동을 벌이고 있다. 실제로 데이터 테크기업 아이지에이웍스의 모바일인덱스에 따르면 6일 기준 쿠팡의 일간 활성 이용자 수(DAU·1594만746명)는 1일(1798만8845명)보다 200만명 이상 감소했다.

    이 과정에서 쿠팡의 탈퇴 절차가 지나치게 복잡하다는 주장이 나왔다. 정부 조사 결과 사실이었다. 개인정보위는 쿠팡이 회원탈퇴 절차를 복잡하게 설계하고, 탈퇴 메뉴를 찾기 어렵게 구성한 사실을 확인했다.

    특히 쿠팡의 유료 회원 서비스(와우 멤버십)에 가입한 회원은 여러 단계의 해지 절차를 거쳐야만 멤버십 해지가 가능했다는 것이 정부의 판단이다. 심지어 일부 쿠팡 회원은 멤버십 잔여기간이 종료될 때까지 멤버십 해지가 불가능했다.

    이와 같은 쿠팡의 탈퇴 절차는 개인정보보호법 위반 소지가 있다는 것이 정부의 판단이다. 개인정보보호법 제38조 4항은 ‘개인정보 처리정지·동의철회 요구의 방법과 절차가 개인정보의 수집 방법과 절차보다 어렵지 않아야 한다’고 규정한다.

    개인정보위는 “쿠팡이 이용자 권리행사 보장을 위해 탈퇴 절차를 간소화하고 정보 주체가 쉽게 알 수 있도록 공개하라”고 촉구했다.

    중앙일보

    쿠팡의 개인정보 유출 사고와 관련해 경찰이 9일 서울 송파구 쿠팡 본사에 대해 압수수색을 진행했다. [중앙포토]

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    아울러 개인정보위는 이번 사태에서 쿠팡이 회원들에게 개인정보 유출을 제대로 통지했고 2차 피해 방지를 위해 적절히 대응했는지도 점검했다. 점검 결과 개선이 필요한 사항이 있었다. 예컨대 배송지 명단에 포함됐으나 쿠팡 회원이 아닌 사람에 대한 통지 방안이 미흡했고, 공지문의 접근성이 낮다는 문제가 있었다. 개인정보위는 이들에게 최소 30일 이상 개인정보 유출을 공지하도록 요구하고, 2차 피해 방지를 위해 전담 대응팀 운영을 강화할 것을 촉구했다.

    이번 개인정보위의 조치는 강제성이 없는 개선권고로, 쿠팡은 조치결과를 7일 이내에 제출해야 한다. 개인정보위 관계자는 “당장 즉각적인 조치가 필요하기 때문에 개인정보보호법에 의거해 쿠팡에 개선을 권고했다”며 “권고를 쿠팡이 이행하지 않을 경우 바로 시정명령 등 행정 절차를 진행할 수 있음을 명시했다”고 말했다.

    이정은 개인정보위 조사2과장은 “쿠팡의 대규모 개인정보 유출사건의 중대성을 인식하고, 유출 경위나 법령 위반사항을 면밀히 조사하고 있다”며 “신속·철저한 조사를 통해 위반 사항 확인 시 엄정 제재할 계획”이라고 말했다.

    문희철 기자 reporter@joongang.co.kr

    중앙일보 / '페이스북' 친구추가

    넌 뉴스를 찾아봐? 난 뉴스가 찾아와!

    ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지

    이 기사의 카테고리는 언론사의 분류를 따릅니다.

    기사가 속한 카테고리는 언론사가 분류합니다.
    언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
    홈으로 이전 페이지로 맨 위로 모바일zum 다운로드 QR 이미지