개보위 "8단계 쿠팡 탈퇴 절차 수정해야…유출 사고 통지도 미흡"(종합)

등록 2025.12.10 16:53:18수정 2025.12.10 18:28:24

개인정보위, 쿠팡 개인정보 처리실태 점검 결과 발표

이용약관 면책 조항, 고의·과실 입증 책임 모호해 법 취지 충돌

탈퇴 8단계·멤버십 해지 선행 등 "이용자 권리 행사 어렵게 구성"

비회원 피해자 통지·공지 미흡…다크웹 유통 정황에 대응 강화 촉구

[서울=뉴시스] 김근수 기자 = 쿠팡이 개인정보 유출 사고와 관련해 경찰이 압수수색을 진행한 9일 오전 서울 송파구 쿠팡 본사 모습이 보이고 있다. 2025.12.09. ks@newsis.com

[서울=뉴시스] 김근수 기자 = 쿠팡이 개인정보 유출 사고와 관련해 경찰이 압수수색을 진행한 9일 오전 서울 송파구 쿠팡 본사 모습이 보이고 있다. 2025.12.09. [email protected]

[서울=뉴시스]윤정민 신효령 기자 = 정부는 쿠팡의 이용약관이 고의·과실로 인한 손해에 대한 회사의 면책 여부, 입증 책임을 모호하게 규정했다고 지적했다. 쿠팡의 회원 탈퇴 절차 역시 단계가 과도하게 많고 일부 회원은 즉시 탈퇴가 사실상 불가능한 구조로 운영되고 있어 이용자의 권리 행사를 저해할 소지가 있다고 봤다. 정부는 이용약관과 회원 탈퇴 절차 모두에 법 위반 가능성이 있다며 쿠팡에 시정 조치를 요구했다.

개인정보보호위원회는 10일 오후 2시 전체회의를 열고 쿠팡의 대응 상황과 개인정보 처리실태를 점검했다며 이같이 밝혔다.

"이용약관 면책 조항, 법 취지와 충돌"…쿠팡에 즉각 개선 요구

개인정보위는 쿠팡이 지난해 11월 '서버에 대한 제3자의 모든 불법적 접속 등으로부터 발생하는 손해에 관하여 책임지지 않는다'는 내용의 면책 규정을 추가한 사실을 확인하고 이에 대한 개선을 요구했다.

개인정보보호법(이하 '보호법')상 개인정보처리자(이하 '처리자')는 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 한다. 처리자가 보호법을 위반한 행위로 이용자(정보 주체)가 손해를 입으면 손해배상을 청구할 수 있다. 이 경우 처리자가 고의·과실이 없음을 입증하도록 규정하고 있다.

개인정보위는 쿠팡의 이용약관이 고의·과실로 인한 손해에 대해 회사의 면책 여부, 입증 책임에 대해 불분명하게 규정했다고 해석했다. 보호법의 취지와 상충되는 측면이 있다는 설명이다.

개인정보위는 이러한 약관이 이용자에게 불필요한 혼란을 초래한다며 쿠팡에 관련 내용에 대한 개선을 요구하는 한편 약관 소관 부처인 공정거래위원회에도 의견을 제시할 계획이라고 전했다.

8단계나 달하는 회원 탈퇴 절차…"권리 행사 방해 소지" 지적

개인정보위는 쿠팡이 회원탈퇴 절차를 복잡하고 탈퇴 메뉴를 찾기 어렵게 구성, 운영한 사실을 확인했다. 탈퇴하려면 마이 쿠팡 선택-회원정보 수정 선택-비밀번호 입력-탈퇴하기 선택-탈퇴 안내 동의 및 비밀번호 입력-이용내역 확인-설문조사-회원탈퇴 완료 등 8단계로 이뤄졌다.

유료 서비스 '와우' 멤버십에 가입한 회원의 경우 멤버십 해지를 회원탈퇴의 필수 조건으로 운영했다. 이 경우에도 8단계를 거쳐야 멤버십 해지가 완료된다. 일부 회원에 대해 멤버십 잔여 기간이 종료될 때까지 멤버십 해지를 불가능하게 해 실질적으로 즉각적인 회원 탈퇴를 할 수 없도록 한 사실도 확인했다.

개인정보위는 '개인정보 처리정지·동의철회 요구 방법과 절차가 개인정보의 수집 방법과 절차보다 어렵지 않게 해야 한다'는 보호법 제38조 제4항 위반 소지가 있는 것으로 판단했다. 이에 이용자의 권리행사 보장을 위해 탈퇴 절차를 간소화하고 정보 주체가 쉽게 알수 있도록 공개할 것을 촉구했다.

유출 사고 통지·공지 미흡…"비회원 피해자 방치 안 돼"

개인정보위는 쿠팡이 회원에게 유출 사고 공지를 전하는 데 개인정보 '노출'을 '유출'로 수정하고 누락된 유출 항목(공동현관 비밀번호), 2차 피해 예방조치를 포함해 재통지한 것을 확인했다. 홈페이지, 앱 상에 공지문을 게시하는 등 개인정보위 의결사항을 일부 이행한 사실을 확인했다.

하지만 배송지 명단에 포함돼 유출됐으나 쿠팡 회원이 아닌 사람(정보 주체)에 대해서는 구체적인 통지 계획을 제출하지 않은 점, 홈페이지·앱 공지문의 접근성과 가시성이 부족한 점 등을 확인해 이에 대한 개선을 요구했다. 보호법상 30일 이상 공지하도록 했으며 2차 피해 예방을 위해 쿠팡 측에 사고 전담 대응팀 운영을 철저히 하라고 요구했다.

개인정보위는 최근 쿠팡 계정 정보의 인터넷, 다크웹상 유통 의심 정황에 대해 쿠팡 측에 자체 모니터링과 즉각적인 대응 체계 강화를 촉구했다. 쿠팡은 이러한 요구사항에 대해 7일 이내 조치 결과를 제출해야 한다.

한편 개인정보위는 이번 대규모 개인정보 유출 사건의 중대성을 인식하고 유출 경위, 보호법 위반사항을 면밀히 조사하고 있다고 말했다.

이어 신속·철저한 조사를 통해 쿠팡의 법 위반사항 확인 시 엄정 제재할 계획이라며 유출 정보를 악용한 2차 피해가 발생하지 않도록 필요한 예방 조치도 지속적으로 실시해 나갈 계획이라고 밝혔다.

◎공감언론 뉴시스 [email protected], [email protected]