쿠팡이 ‘해킹·불법 접속으로 발생한 손해에 책임 지지 않는다’는 이용약관상의 ‘면책 조항’을 삭제한다. 개인정보보호위원회(개보위)의 시정 조치에 따른 것인데, ‘늑장 조치’ 비판은 피하기 어려울 것으로 보인다.

쿠팡은 오는 26일부터 이용약관 내 ‘해킹·불법 접속으로 인한 손해는 책임지지 않는다’(제38조 7항)는 문구를 삭제한다고 18일 공지했다. 해당 조항은 쿠팡이 지난해 11월 신설한 것으로 이번 대규모 개인정보 사태를 계기로 책임 회피 논란이 일었다.

한국소비자단체협의회 회원들이 지난 17일 서울 종로구에서 쿠팡 탈퇴 소비자행동 발대식을 하고 있다. 뉴스1

이에 개보위는 지난 10일 “7일 이내 해당 면책 조항을 수정하라”고 의결했다. 개보위는 이 조항이 개인정보보호법이 규정한 안전조치 의무와 손해배상 책임 원칙에 위배된다고 판단했다. 현행법은 개인정보처리자는 안전조치를 이행할 의무가 있으며, 이를 위반해 이용자 피해가 발생했을 경우 고의·과실이 없음을 처리자가 스스로 입증해야 한다.

개보위 의결 이후에도 기한 내 정정 조치가 이뤄지지 않을 경우 과징금이 가중될 수 있어 일각에선 “쿠팡이 사실상 등 떠밀려 약관을 수정했다”는 지적이 나온다. 쿠팡은 앞서 개인정보 ‘노출’ 표현을 유지하다 개보위 의결에 따라 17일 만에 ‘유출’로 정정했다.

쿠팡은 이와 함께 이용약관에 개인정보 보호 책임에 관한 조항(제13조 12항)도 보강했다. 기존엔 ‘회사가 마련한 개인정보처리방침에 따른다’고만 명시돼 사고 발생 시 입증 책임이 불분명하단 비판이 있었는데, 이를 ‘개인정보 처리 절차·기준과 관리, 고의·과실에 대한 입증 책임을 개인정보보호법에 따라 처리하겠다’는 내용으로 수정했다. 또 약관 변경 내용이 소비자에게 불리하거나 중대할 경우 개별 이메일, 전화, 문자 등으로 적극 알리는 조항(제3조 3항)도 신설했다.

쿠팡이 이처럼 한발 물러선 배경엔 전방위적 압박이 작용한 것으로 풀이된다. 정부는 18일 과학기술정보통신부·개보위·금융위원회·공정거래위원회·국가정보원·경찰청 등이 참여하는 범부처 태스크포스(TF)를 구성했다. TF는 정보 유출에 관한 조사와 함께 쿠팡 영업정지 여부도 검토할 전망이다. 국회 역시 국토교통위원회·과학기술정보방송통신위원회·정무위원회·기후에너지환경노동위원회 등이 참여하는 쿠팡 연석 청문회를 추진 중이다.

쿠팡이 개보위의 의결에 따라 이용약관 내용을 대거 수정했다. 사진 쿠팡 홈페이지 캡처

지난 17일 청문회 이후 쿠팡을 향한 여론은 더욱 악화하는 모양새다. 김범석 쿠팡Inc 의장은 불출석한 채 미국인인 해럴드 로저스 신임대표, 브렛 매티스 정보보호최고책임자(CISO)를 내세워 책임을 회피했단 비판이 이어지고 있다.

청문회 이후 온라인에선 “쿠팡 청문회를 보니 한국을 무시하는 느낌을 받았다” “쿠팡 끊고 생기는 금단현상도 참아보겠다” “진정성 있는 입장과 대책을 기대했는데 실망” 등의 반응이 이어지고 있다.