개인정보위 "쿠팡, '탈퇴절차 간소화' 개선권고"

[이데일리 이소현 기자] 개인정보보호위원회가 3370만명 규모의 개인정보 유출 사고가 발생한 쿠팡에 제3자 불법접속 손해면책조항을 포함한 이용약관과 복잡한 회원탈퇴 절차를 개선하라고 했다.

이정은 개인정보보호위원회 조사2과장이 10일 서울 종로구 정부서울청사에서 개인정보 보호조치에 대한 개선권고 브리핑을 하고 있다.(사진=연합)

개인정보보호위원회는 10일 제26회 전체회의를 개최해 쿠팡의 개인정보 처리실태 및 대응 상황을 점검하고, 개선 사항을 촉구하는 의결을 내렸다고 밝혔다.

개보위는 쿠팡이 2024년 11월 이용약관(제38조)에 서버에 대한 제3자의 불법적 접속 등으로 발생하는 손해에 관해 책임지지 않는다는 면책 규정을 추가한 사실을 확인했다.

이는 개인정보처리자가 안전성 확보 조치를 해야 하며(보호법 제29조), 위반으로 이용자가 손해를 입으면 처리자가 고의·과실이 없음을 입증해야 한다는(제39조제1항, 제39조의2제1항) 보호법의 취지와 상충되며, 이용자에게 혼란을 초래한다.

이에 개보위는 쿠팡에 관련 내용 개선을 요구하고, 약관 소관 부처인 공정거래위원회에도 의견을 제시할 계획이다.

이어 개보위는 쿠팡이 회원탈퇴 절차를 복잡하게 구성하고, 탈퇴 메뉴를 찾기 어렵게 운영한 사실을 확인했다.

특히 유료 서비스인 와우 멤버십 회원의 경우, 멤버십 해지를 회원탈퇴의 필수 조건으로 운영하면서 해지 절차를 여러 단계 거치게 하고, 해지 의사를 재확인하여 어렵게 운영했다고 지적했다.

일부 회원에 대해서는 멤버십 잔여 기간이 종료될 때까지 해지를 불가능하게해 즉각적인 회원 탈퇴를 할 수 없도록 한 것도 문제점으로 지적했다.

개보위는 이는 개인정보 처리정지·동의철회 요구의 방법과 절차가 수집 방법과 절차보다 어렵지 않게 해야 한다는 보호법 제38조 제4항 위반 소지가 있다고 봤다. 이에 이용자의 권리행사 보장을 위해 탈퇴 절차를 간소화하고 쉽게 알 수 있도록 공개할 것을 촉구했다.

아울러 개보위는 유출 통지 및 2차 피해 방지 관련해서도 추가 개선 사항이 필요하다고 봤다.

쿠팡은 개보위의 지난 3일 긴급 의결에 따라 개인정보 ‘노출’을 ‘유출’로 수정하고, 누락된 유출항목(공동 현관 비밀번호) 및 2차 피해 예방조치를 포함해 재통지했으며, 공지문을 게시하는 등 일부 이행했다.

개보위는 이에 더해 추가 개선 요구 사항으로 배송지 명단에 포함되어 유출된 쿠팡 회원이 아닌 사람(정보주체)에 대한 구체적인 통지계획을 제출하도록 요구했다.

또 홈페이지·앱 공지문의 접근성 및 가시성 부족을 지적하며 개선을 요구하고, 보호법에 따라 30일 이상 공지하도록 했다.

개보위는 쿠팡 측에 대응 체계 강화도 주문했는데 피해 예방을 위해 사고 전담 대응팀 운영을 철저히 할 것과 쿠팡 계정 정보의 유통 의심 정황에 대해 자체 모니터링 및 즉각적인 대응 체계를 강화할 것을 촉구했다.

개보위는 이러한 요구사항에 대해 쿠팡 측에 7일 이내 조치 결과를 제출하도록 요구했다. 개보위 관계자는 “유출 경위 및 법 위반사항을 면밀히 조사해 법 위반 확인 시 엄정 제재할 계획”이라고 강조했다.