쿠팡이 지난해 이용약관에 슬그머니 추가한 한 문장 “불법적인 서버 접속이나 이용으로 발생하는 손해는 책임지지 않는다”를 둘러싸고 논란이 계속되고 있다. 대규모 개인정보 유출 사태와 맞물리며 “과연 플랫폼이 이런 조항으로 법적 책임을 피할 수 있는가”라는 질문이 법조계 핵심 쟁점으로 떠올랐다. 이러한 가운데 국회입법조사처와 공정위가 잇따라 문제 소지를 지적하면서, 이 조항이 실제 재판에서 유효성을 인정받기는 쉽지 않다는 회의론이 커지고 있다.
약관으로 개인정보 유출 책임을 제한할 수 있나
쿠팡 약관이 논란이 되는 이유는 단순한 문구 문제가 아니다. 이 조항은 사업자가 해킹·불법 침입 등 외부 공격에 따른 손해 책임을 스스로 배제하는 내용을 담고 있기 때문이다. 하지만 약관규제법 제6조와 제8조는 “상당한 이유 없이 소비자에게 부당하게 불리한 조항” 또는 “사업자의 법정책임을 면제·감경하는 조항”을 원칙적으로 무효로 본다.
전자상거래 소비자보호의 기본법인 전자상거래법 제21조 역시 사업자가 소비자 정보를 보호할 의무를 명시하고, 제17조에서는 피해 발생 시 신속한 조치 의무를 부과한다. 다시 말해 **정보보호 의무는 법률이 정한 ‘강행규정’**에 가깝고, 이를 약관으로 덮을 수 없다는 것이 다수 법조계의 해석이다.
국회입법조사처가 “해당 약관은 법적 효력이 없을 가능성이 높다”고 본 것도 이 때문이다. 사업자 책임을 일방적으로 배제하는 조항이어서 약관규제법 체계상 존속하기 어렵다는 판단이다.
정보통신망법의 ‘안전조치 의무’와도 충돌
기업의 책임은 약관 단계에서 끝나지 않는다. 정보통신망법 제28조의2는 정보통신서비스 제공자에게 ‘해킹·침해사고 방지를 위한 기술적·관리적 보호조치 의무’를 부과하고 있다. 이 의무는 해킹이 외부 공격으로 발생했다 해도 기본 보안체계 구축·점검 등 일정 수준의 관리 책임을 사업자가 부담한다는 취지다.
따라서 쿠팡 약관은 △약관규제법(면책 조항 금지) △전자상거래법(소비자 보호·정보보호 의무) △정보통신망법(안전조치 의무) 세 가지 법률과 모두 충돌하는 구조다.
결과적으로 사업자가 약관을 근거로 “불법 침입이니 우리는 책임이 없다”고 주장하더라도, 재판에서는 “법이 부과한 본질적 보호의무를 면하려는 조항”이라는 이유로 받아들여지기 어렵다는 분석이 힘을 얻고 있다.
공정위는 이미 해당 약관이 불공정 약관에 해당하는지 검토에 착수했다. 약관규제법의 주무기관인 공정위가 직접 판단에 나섰다는 점에서, 조항 자체가 유지되기 어려운 흐름이 만들어지고 있다는 평가가 나온다.
탈퇴 절차 논란도 함께 부상
또 다른 논란은 회원 탈퇴 절차다. 와우 멤버십은 구독기간이 끝나야 탈퇴가 가능하고, 일반 회원도 모바일 탈퇴 절차가 복잡하다는 지적이 이어졌다. 비록 쿠팡이 일부 개선을 했다고 해도, 이 과정이 소비자에게 과도한 부담을 준다면 전자상거래법의 소비자 선택권·계약해지권 보호 원칙에 저촉될 소지가 있다는 게 전문가들의 시각이다.
경찰 역시 전담 수사관 17명을 투입해 쿠팡 본사를 압수수색하며 유출 경위·보안 체계·관리 책임을 폭넓게 들여다보고 있다. 약관 자체가 유효하더라도, 수사 과정에서 보안상 과실이 드러날 경우 사업자 책임은 다시 무겁게 부활할 수밖에 없다.
한 변호사는 “이번 논란의 핵심은 약관 문구가 아니라 사업자에게 부과된 법정 보호의무를 면하려는 시도에 있다”며 “세 법률이 모두 소비자·정보보호 원칙을 강화하는 방향이어서 약관은 재판에서 효력이 인정되기 어렵다”고 말했다.
박용준 기자yjunsay@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
