핵심 요약
개인정보보호위원회(개인정보위)는 12월 10일 정부서울청사 전체회의에서 쿠팡이 지난해 11월 이용약관 제38조에 추가한 ‘해킹·불법 접속에 대한 면책’ 규정을 문제 삼아 개선 권고안을 의결했다. 개인정보위는 약관 조항이 개인정보보호법의 책임·입증 체계와 충돌하고, 복잡한 회원 탈퇴 절차가 이용자 권리를 제약한다고 판단했다. 개인정보위는 쿠팡에 7일 이내 조치 결과 제출을 요구했으며, 위법이 확인되면 엄정 제재 방침을 밝혔다.
핵심 사실
- 개인정보위는 2025년 12월 10일 정부서울청사 전체회의에서 쿠팡 약관 개선권고안을 의결했다.
- 쿠팡은 2025년 11월 이용약관 제38조에 ‘서버에 대한 제3자의 불법적 접속 등으로 발생하는 손해에 대해 회사는 책임지지 않는다’는 면책 규정을 신설했다.
- 언론·시민단체는 이번 개인정보 유출 피해를 ‘명백한 인재’로 규정하고 피해자 620명이 집단분쟁조정을 신청한 사실을 공개했다.
- 개인정보위는 개인정보 보호법상 처리자의 안전조치 의무와 손해배상 입증 책임(처리자가 고의·과실 없음을 입증)을 지적했다.
- 와우멤버십 해지를 탈퇴 전제조건으로 둔 복잡한 절차가 즉각적 탈퇴를 사실상 어렵게 한다고 판단했다.
- 쿠팡은 일부 통지 문구(‘노출’→‘유출’)를 수정하고 재통지를 일부 이행했지만, 통지 접근성·비회원 통지 계획 등에서 부족하다고 지적받았다.
- 개인정보위는 인터넷·다크웹 유통 보도와 신고가 잇따른 점을 들어 쿠팡의 자체 모니터링·즉각 대응 체계 강화를 촉구했다.
- 쿠팡은 개인정보위 요구에 대해 7일 이내에 조치 결과를 제출해야 한다.
사건 배경
한국의 개인정보보호법은 개인정보 처리자에게 기술적·관리적·물리적 안전조치를 의무화하고, 처리자가 위반으로 이용자에게 손해가 발생한 경우 처리자가 고의·과실이 없음을 입증하도록 규정한다. 이 법적 틀은 이용자 보호를 우선하는 책임 분담 원칙에 바탕을 둔다. 최근 몇 년간 대형 플랫폼에서 발생한 개인정보 유출 사고는 규제기관의 감독 강화와 이용자 권리 강화 요구를 촉발했다. 기업들이 이용약관을 통해 책임을 제한하려는 시도는 법적·정책적 논쟁을 불러왔고, 이번 쿠팡 사안은 그 연장선에 있다.
전자상거래 플랫폼은 대량의 이용자 정보를 보유하고 있어 보안 사고 발생 시 파급력이 크다. 특히 멤버십·배송지 등 서비스 구조상 관련 데이터가 교차 연결되면 노출 범위가 확대될 수 있다. 시민단체와 소비자권익단체는 기업의 사후 보상과 예방 조치가 미흡하다고 보고 집단분쟁조정과 공론화를 추진해 왔다. 규제당국은 약관·서비스 설계가 실질적 권리 행사를 막지 않는지 점검하는 추세다.
주요 사건
문제가 된 조항은 쿠팡이 2025년 11월 이용약관에 새로 추가한 제38조로, 제3자의 불법적 접속으로 인한 손해에 대해 회사가 책임지지 않는다는 취지다. 이후 대규모 개인정보 유출 정황이 드러나면서 해당 약관이 책임 회피 수단으로 작용하는지에 대한 비판이 제기됐다. 개인정보위는 약관 조항의 문구가 개인정보보호법의 취지와 상충하고 이용자에게 혼란을 줄 수 있다고 판단했다.
또한 개인정보위는 와우멤버십 등 유료 서비스의 해지 절차를 회원 탈퇴의 전제로 설계한 점을 문제 삼았다. 실제로 멤버십 해지를 위해 여러 단계의 절차를 거쳐야 하는 구조는 즉시 탈퇴·서비스 중단을 어렵게 만들어 보호법 제38조 제4항(처리정지·동의철회 요구 절차의 동등성) 위반 소지가 있다고 지적했다. 쿠팡은 일부 문구를 정정하고 재통지를 시행했으나, 통지 접근성·누락 항목 재통지 등에서는 미흡하다는 평가가 나왔다.
개인정보위는 인터넷·다크웹 유통 보도와 신고 사례가 잇따르고 있는 점을 근거로 쿠팡에 자체 모니터링과 즉각 대응 체계 강화를 촉구했다. 조사 결과 법 위반 사항이 확인될 경우 개인정보위는 엄정 제재를 예고했다.
분석 및 의미
첫째, 이번 권고는 약관의 문언과 개인정보보호법의 실효성 충돌 문제를 본격적으로 드러냈다. 기업이 약관을 통해 책임 범위를 임의로 축소하려는 시도는 법의 입증책임 구조와 충돌하고, 규제 당국의 시정·제재 대상이 될 수 있음을 확인했다. 둘째, 서비스 설계(예: 탈퇴·해지 절차)가 실질적 권리 행사를 방해할 경우 단순한 약관 해석을 넘어서 소비자 보호 규범의 대상이 된다. 이는 향후 전자상거래 업계 전반에 걸쳐 약관·UI(사용자 인터페이스) 설계 관행을 바꾸는 계기가 될 수 있다.
셋째, 규제 조치의 파급은 공정거래위원회와의 협업 가능성도 시사한다. 약관은 공정거래법상 불공정 약관 심사 대상이므로 개인정보위의 의견 제시는 공정위의 후속 조치로 이어질 수 있다. 넷째, 기업의 신뢰 회복 비용이 증가할 전망이다. 보안 사고 이후의 통지·모니터링·보상 조치가 부실하면 소비자 불만과 법적 분쟁이 장기화될 수 있다.
마지막으로 국제적 관점에서 보면 데이터 침해 대응의 표준과 규제 강화 흐름은 글로벌 공통 과제다. 국내 규제의 엄정한 해석·집행은 다국적 사업자와 국내 플랫폼 모두에 영향을 미칠 수 있다.
비교 및 데이터
| 항목 | 사실 |
|---|---|
| 약관 신설 시기 | 2025년 11월 (제38조) |
| 개인정보위 의결일 | 2025년 12월 10일 |
| 집단분쟁조정 참여 피해자 | 620명(시민단체 제출) |
| 쿠팡 제출 요구 기한 | 의결 후 7일 이내 |
위 표는 공개된 핵심 일시·수치만을 정리한 것이다. 사건의 전개와 규제 절차는 조사 결과에 따라 추가 수치와 일정이 변경될 수 있다.
반응 및 인용
“개인정보 처리자는 유출을 방지할 안전조치를 다할 의무가 있다. 약관으로 책임을 회피하려는 취지는 법 취지와 맞지 않는다.”
이정은 개인정보위 조사2과장 (개인정보위)
이 발언은 개인정보위가 법적 책임의 틀과 입증 책임을 근거로 약관 조항의 모호성을 문제 삼았다는 맥락에서 나온 것이다.
“이번 사태는 명백한 인재이며, 1인당 30만원 이상의 배상과 재발 방지책을 요구한다.”
참여연대 등 시민단체
시민단체는 피해의 성격과 손해배상 요구 수준을 밝히며 집단분쟁조정 신청을 추진한 배경을 설명했다.
불확실한 부분 (Unconfirmed)
- 인터넷·다크웹에 유통된 계정 정보의 정확한 범위와 항목별 노출 정도는 조사 중이며 아직 확정되지 않았다.
- 개인정보위의 조사 결과가 법 위반으로 최종 확정될 경우 적용될 구체적 제재 수위는 아직 결정되지 않았다.
- 비회원으로서 배송지 명단에 포함된 이용자에 대한 통지 대상 선정 방식과 통지 범위가 어떻게 최종 정리될지는 추가 확인이 필요하다.
총평
이번 권고는 플랫폼 약관이 법적 책임 구조를 약화시키는 수단으로 작동할 수 없다는 원칙을 확인한 의미 있는 사례다. 개인정보보호법의 기본 취지는 이용자 권리 보호이며, 약관·서비스 설계는 그 한계를 넘지 않아야 한다. 규제기관의 권고와 조사 결과는 향후 전자상거래 약관 관행과 사용자 인터페이스 설계에 실질적 영향을 미칠 가능성이 크다.
이용자 관점에서는 통지의 명확성·접근성 확보와 탈퇴·해지 절차의 간소화가 핵심 요구로 남아 있다. 기업들은 약관 문구만 수정하는 수준을 넘어 보안·모니터링·고객응대 체계 전반을 점검·보완해야 신뢰 회복이 가능하다.
출처
- 경향신문 보도 (언론)
- 개인정보보호위원회 공식 홈페이지 (공식 발표)