쿠팡, 대문짝만 한 할인 광고 위 깨알 사과문…법 위반 소지 다분한 '꼼수'

"크리스마스 빅세일!"

1일, 국내 이커머스 1위 쿠팡 사이트를 켠 A씨는 화려한 연말 할인 광고를 마주했다. 하지만 그 화려함 속에 정작 3370만 명의 고객이 알아야 할 치명적인 소식은 묻혀 있었다.

쿠팡에서 역대급 개인정보 유출 사고가 발생했다. 전체 국민의 과반수가 넘는 3370만 개의 고객 정보가 털렸지만, 쿠팡의 대응 방식이 도마 위에 올랐다. 홈페이지 메인 화면에 쇼핑 광고와 사과문을 뒤섞어 배치하면서 소위 '스텔스 사과'를 하고 있다는 비판이다.

이런 '꼼수' 공지는 법적으로 문제가 없을까. 법률 전문가들과 함께 판례와 법령을 뜯어봤다.

광고 반, 사과 반… "쉽게 알 수 있도록" 하라는 법령 위반

가장 큰 쟁점은 통지 방법이다. 현행 개인정보 보호법 시행령 제40조 제3항은 정보주체에게 유출 사실을 알릴 때 "정보주체가 쉽게 알 수 있도록" 홈페이지에 게시해야 한다고 규정한다.

하지만 쿠팡의 현재 대응은 이 원칙을 정면으로 거스르는 모양새다. 쿠팡은 메인 화면의 배너 영역에 사과문을 띄웠지만, 동일한 영역에 "크리스마스 빅세일" 같은 상업적 광고도 함께 노출되고 있다.

법률 전문가들은 이를 위법하다고 봤다. 사과 배너가 광고 배너에 비해 현저히 작거나 혼재되어 있다면, 이용자가 유출 사실을 인지하기 어렵기 때문이다. 이는 오히려 유출 사실을 축소하거나 은폐하려는 의도로 해석될 여지가 다분하다.

모바일 앱의 상황은 더 심각하다. 쿠팡 앱 메인 화면에는 "비비고 만두"나 "크리스마스 빅 세일" 같은 화려한 광고 배너가 즐비한데, 사과문은 그 사이에 끼어 있다.

법률 전문가들은 "화면이 작고 스크롤이 빠른 모바일 특성상 팝업창이나 최상단 고정 배너를 써야 함에도, 상업적 광고와 혼재시킨 건 정보주체가 유출 사실을 쉽게 알 수 있는 방법으로 공지해야 한다는 법령을 위반한 것"이라고 꼬집었다.

만약 통지 방법이 부적절하다고 판단될 경우, 쿠팡은 개인정보 보호법 제75조에 따라 3천만 원 이하의 과태료 처분을 받을 수 있다.

특히 이번 사고는 지난 6월부터 유출이 시작됐으나 11월에야 인지하는 등 5개월의 공백이 있었다. 늑장 대응도 모자라 통지마저 소극적이라는 지적을 피하기 어려운 대목이다.

대법원 "유출 사실 성실히 안 알리면 위자료 줘야"

이러한 불성실한 태도는 향후 이어질 손해배상 소송에서도 쿠팡 측에 불리하게 작용할 전망이다.

대법원은 기업이 개인정보 유출 사고 후 피해 확산을 방지하기 위해 어떤 조치를 취했는지를 배상 책임의 중요한 판단 기준으로 삼는다(대법원 2011다59834 판결 등).

법조계에서는 쿠팡이 상업적 광고와 사과문을 혼재시킨 행위가 "피해 확산 방지 조치를 제대로 취하지 않은 것"으로 평가될 수 있다고 경고한다. 이는 기업의 신의성실 의무를 저버린 것으로, 피해자들의 정신적 손해에 대한 위자료 산정 시 가중 요인이 될 수 있다.

현재 개인정보보호위원회와 경찰은 쿠팡에 대한 전방위적인 조사에 착수했다. 쿠팡은 "보안 장치 변화를 검토 중"이라고 밝혔지만, 당장 '세일 광고' 위에 숨은 사과문부터 바로잡아야 할 것으로 보인다.

한편, 쿠팡은 이번 사고로 이름과 배송지 등이 노출됐으나 결제나 로그인 정보 같은 민감한 금융 정보는 포함되지 않았다고 선을 그었다. 이에 따라 고객들이 별도로 계정 정보를 변경할 필요는 없다는 입장이며, 박대준 대표가 직접 나서 사과하고 내부 보안 강화와 수사 협조를 약속했다.