미디어라이프 중부신문 이건영 기자 | 개인정보보호위원회는 12월 10일 오후 2시 제26회 전체회의를 개최하여 쿠팡㈜(이하 ‘쿠팡’)의 그간의 대응상황 및 개인정보 처리실태를 점검했다.

 

먼저, 개인정보위는 쿠팡이 ‘24.11월 이용약관(제38조)에 서버에 대한 제3자의 모든 불법적 접속 등으로부터 발생하는 손해에 관하여 책임지지 않는다는 내용의 면책 규정을 추가한 사실을 확인하고, 이에 대한 개선을 요구했다.

 

개인정보보호법(이하 ‘보호법’) 상 개인정보처리자(이하 ‘처리자’)는 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하여야 하며(보호법 제29조), 처리자가 보호법을 위반한 행위로 이용자(정보주체)가 손해를 입으면 손해배상을 청구할 수 있고, 이 경우 처리자가 고의·과실이 없음을 입증하도록 규정하고 있다(제39조제1항, 제39조의2제1항)

 

개인정보위는 쿠팡의 이용약관이 고의·과실로 인한 손해에 대하여 회사의 면책 여부 및 입증 책임에 대하여 불분명하게 규정하여, 보호법의 취지와 상충되는 측면이 있고, 이용자에게 불필요한 혼란을 초래하는 바, 쿠팡에 관련 내용에 대한 개선을 요구하는 한편, 약관 소관 부처인 공정거래위원회에도 의견을 제시할 계획이다.

 

' 회원탈퇴 절차 관련 : 보호법 §38 위반 소지 '

 

또한, 개인정보위는 쿠팡이 회원탈퇴 절차를 복잡하고, 탈퇴 메뉴를 찾기 어렵게 구성, 운영한 사실을 확인했다. 특히, 유료 서비스인 와우 멤버십에 가입한 회원의 경우 멤버십 해지를 회원탈퇴의 필수 조건으로 운영하면서, 멤버십 해지 절차를 여러 단계 거치게 하고, 해지 의사를 재확인하여, 멤버십을 해지하기 어렵게 운영했다. 또한, 일부 회원에 대하여는 멤버십 잔여 기간이 종료될 때까지 멤버십 해지를 불가능하게 하여, 실질적으로 즉각적인 회원탈퇴를 할 수 없도록 한 사실을 확인했다.

 

이에 대해 개인정보위는 개인정보 처리정지·동의철회 요구의 방법과 절차가 개인정보의 수집 방법과 절차보다 어렵지 않게 하여야 한다는 보호법 제38조 제4항 위반 소지가 있는 것으로 판단하고, 이용자의 권리행사 보장을 위해 탈퇴 절차를 간소화하고 정보주체가 쉽게 알수 있도록 공개할 것을 촉구했다.

 

'유출 통지 및 2차피해 방지 관련'

 

아울러, 개인정보위는 유출통지 및 2차 피해 방지 대응 조치와 관련하여 지난 12.3. 개인정보위의 긴급의결에 따른 쿠팡측 조치결과를 점검했다. 점검 결과, 쿠팡은 개인정보 “노출”을 “유출”로 수정하고, 누락된 유출항목(공동현관 비밀번호) 및 2차 피해 예방조치를 포함하여 재통지했으며, 홈페이지 및 앱 상에 공지문을 게시하는 등 개인정보위 의결사항을 일부 이행한 사실을 확인했다.

 

그러나, 배송지 명단에 포함되어 유출됐으나 쿠팡 회원이 아닌 사람(정보주체)에 대해서는 구체적인 통지계획을 제출하지 않은 점, 홈페이지/앱 공지문의 접근성 및 가시성이 부족한 점 등을 확인하여 이에 대한 개선을 요구하고, 보호법 제34조제1항 및 같은 법 시행령 제39조제3항 등에 따라 30일 이상 공지하도록 했으며, 2차 피해 예방을 위해 쿠팡측에 사고 전담 대응팀 운영을 철저히 할 것을 요구했다.

 

또한, 최근 쿠팡 계정 정보의 인터넷 및 다크웹상 유통 의심 정황 등에 대한 언론보도나 신고가 잇따르고 있어, 쿠팡측에 자체 모니터링 및 즉각적인 대응 체계를 강화할 것을 촉구했으며, 이상의 요구사항에 대하여 7일 이내 조치결과를 제출하도록 했다.

 

한편, 개인정보위는 이번 대규모 개인정보 유출사건의 중대성을 인식하고, 유출 경위 및 보호법 위반사항을 면밀히 조사하고 있으며, 신속·철저한 조사를 통해 쿠팡의 법 위반사항 확인 시 엄정 제재할 계획이다. 더불어 유출 정보를 악용한 2차 피해가 발생하지 않도록 필요한 예방조치도 지속적으로 실시해 나갈 계획이다.