정부가 최근 개인정보 유출 사고가 발생한 쿠팡에 대해 약관·탈퇴 절차·통지 방식 전반의 구조적 문제를 지적하며 대대적인 개선을 요구하고 나섰다.

대규모 유출 사태 이후 이용자 불편과 책임 회피 논란이 이어지는 가운데, 정부가 직접 칼을 빼들면서 후속 제재 가능성도 제기되고 있다.

개인정보보호위원회는 지난 10일 열린 전체회의에서 쿠팡의 개인정보 유출 대응과 정보 처리 실태를 점검한 결과, 여러 문제점을 확인했다며 즉각적인 시정이 필요하다고 11일 밝혔다.

개인정보위는 먼저 쿠팡이 지난해 11월 개정한 이용약관에서 '서버에 대한 제3자의 불법적 접속으로 발생한 손해에 대해 회사가 책임지지 않는다'는 내용을 추가한 사실에 주목했다.

개인정보보호법은 개인정보처리자에게 안전성 확보를 위한 기술적·관리적 조치를 의무화하고 있으며, 유출 사고로 이용자가 피해를 입었을 경우 고의·과실이 없음을 처리자가 입증하도록 규정하고 있다.

그러나 쿠팡의 면책 조항은 책임 범위를 모호하게 만들어 법 취지와 상충될 수 있다는 지적이 제기됐다.

개인정보위는 쿠팡에 관련 조항을 명확히 하고 소비자의 혼란을 방지하도록 개선을 요구하는 동시에, 약관을 관할하는 공정거래위원회에도 해당 내용을 통지할 계획이다.

또한 개인정보위는 쿠팡의 회원탈퇴 절차가 지나치게 복잡하며 이용자가 탈퇴 메뉴를 찾기 어렵게 설계돼 있다는 점을 문제로 지적했다.

특히 유료 서비스인 '와우 멤버십' 해지를 탈퇴의 선행 조건으로 두고, 해지 과정에 여러 단계의 확인 절차를 부과해 사실상 탈퇴를 어렵게 만들었다는 점이 도마 위에 올랐다.

일부 회원의 경우 남은 멤버십 기간이 끝나기 전까지 해지가 불가능해 즉각적인 탈퇴가 제한된 사례도 확인됐다.

개인정보위는 개인정보 처리정지·동의철회 절차가 개인정보 수집보다 어렵지 않아야 한다는 법 조항에 위반될 소지가 있다며, 탈퇴 절차를 간소화하고 이용자가 쉽게 확인할 수 있도록 명확한 안내 체계를 구축하라고 요구했다.

유출 사고에 대한 통지 방식도 개선 대상에 포함됐다.

쿠팡은 개인정보 노출을 유출로 정정하고, 누락됐던 항목인 공동현관 비밀번호를 포함해 재통지했으며, 홈페이지와 앱에 관련 공지를 게시하는 등 일부 조치를 이행했다.

하지만 개인정보위는 쿠팡 회원이 아닌데도 배송지 명단에 포함돼 정보가 유출된 사람들에 대한 구체적인 통지 계획이 없으며, 공지문의 접근성이 떨어진다는 점을 문제로 지적했다.

이에 따라 최소 30일 이상 명확한 공지를 유지하고, 2차 피해를 막기 위해 사고 대응 전담팀 운영을 강화할 것을 주문했다.

아울러 최근 쿠팡 계정 정보가 인터넷과 다크웹에 유통되고 있다는 의심 정황이 잇따라 제기되는 만큼, 개인정보위는 쿠팡에 자체 모니터링과 긴급 대응 체계를 즉시 강화하라고 촉구했다.

개인정보위는 쿠팡이 모든 요구사항에 대해 7일 이내 조치 결과를 제출해야 한다고 덧붙였다.

개인정보위는 "이번 유출 사건은 규모와 파급력을 고려할 때 매우 중대한 사안"이라며 "유출 경위와 법 위반 여부를 면밀히 조사해 위반 사실이 확인될 경우 엄정히 제재하겠다"고 밝혔다.

쿠팡에 대한 조사가 본격화되면서, 향후 플랫폼 전반의 개인정보 보호 관행에도 영향을 미칠 것이라는 전망이 나온다.