국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 11월 30일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지. 연합뉴스

개인정보보호위원회가 최근 대규모 유출 사고가 발생한 쿠팡에 제3자 불법 접속에 대한 손해배상 면책 조항을 정비하고 회원탈퇴 절차를 간소화하라고 요구했다.

10일 연합뉴스 등에 따르면 개인정보위는 이날 오후 열린 전체회의에서 쿠팡의 이용약관, 회원탈퇴 운영 방식, 유출 통지 조치 등을 점검한 결과 이같이 의결했다고 밝혔다. 개인정보위에 따르면 쿠팡은 지난해 11월 이용약관에 "서버에 대한 제3자의 모든 불법적 접속으로 인한 손해에 대해 책임지지 않는다"는 면책 조항을 신설했다. 개인정보위는 이 규정이 고의·과실로 인한 손해에 대한 회사의 면책 여부와 입증 책임을 불명확하게 해 개인정보보호법 취지와 상충하는 측면이 있다고 판단했다. 개인정보위는 쿠팡에 약관 개선을 요구하는 동시에, 약관 소관 부처인 공정거래위원회에도 관련 의견을 제출할 계획이다.

이날 전체회의에서는 유출 사태 이후 논란이 불거진 쿠팡의 회원탈퇴 절차도 문제로 지적됐다. 개인정보위는 쿠팡의 탈퇴 절차가 복잡하고 관련 메뉴에 대한 접근성이 떨어진다고 밝혔다. 유료 서비스인 '와우 멤버십' 가입자는 멤버십 해지를 탈퇴의 필수 조건으로 두고 여러 단계를 거치도록 하거나 해지 의사를 재확인하는 등 해지를 어렵게 운영한 점을 확인했다. 또 멤버십 잔여기간이 남아 있는 경우 잔여기간이 종료될 때까지 해지가 불가능해 즉각적인 탈퇴가 사실상 어렵다는 점도 드러났다. 개인정보보호법 제38조 4항은 개인정보 처리정지·동의 철회의 절차가 개인정보 수집 절차보다 어렵지 않아야 한다고 규정하고 있다. 개인정보위는 쿠팡이 이용자의 권리 행사가 원활히 이뤄질 수 있도록 탈퇴 절차를 단순화하고 개선할 것을 촉구했다.

또 개인정보위는 지난 3일 긴급 의결 이후 쿠팡이 이행한 조치도 함께 점검했다. 쿠팡은 사고 통지 문구를 '노출'에서 '유출'로 수정하고, 누락됐던 공동현관 비밀번호를 포함해 재통지했으며, 홈페이지·앱 공지문을 게시하는 등 의결사항 일부는 이행한 것으로 확인됐다. 그러나 배송지 명단에 포함돼 정보가 유출됐지만 쿠팡 회원이 아닌 사람들에 대한 통지 계획이 구체적으로 제시되지 않은 점, 홈페이지·앱 공지문의 접근성과 가시성이 떨어지는 점 등은 미흡한 부분으로 지적됐다. 개인정보위는 법에 따라 30일 이상 공지를 유지하고, 2차 피해 예방을 위해 전담 대응팀을 철저히 운영할 것을 주문했다.

성규환 부산닷컴 기자 bastion@busan.com