전자상거래 플랫폼 쿠팡에서 국내 성인 4명 중 3명에 달하는 3,370만 명의 개인정보가 유출된 가운데, 이미 수년 전에 탈퇴한 고객들의 정보까지 포함된 사실이 드러나면서 논란이 증폭되고 있다. 탈퇴 후 오랜 시간이 지난 고객들로부터 "황당하다", "무방비하다"는 분노의 반응이 쏟아지고 있으며, 쿠팡이 개인정보보호법상 분리 보관 의무를 위반했는지에 대한 집중적인 조사가 시작되었다.

2021년 쿠팡을 탈퇴한 직장인 안창준(25)씨를 비롯해 탈퇴한 지 5~6년이 지난 정아무개(43)씨까지, 오랜 기간 서비스를 이용하지 않은 고객들이 유출 문자를 받으면서 쿠팡의 개인정보 관리 방식에 대한 근본적인 의문이 제기되고 있다. 고객들은 "직원 블랙리스트는 철저히 관리하면서 탈퇴 고객 정보는 이렇게 무방비하게 두는 것이 맞느냐"며 강력하게 비판하고 있다.

현행법상, 쿠팡의 개인정보 처리 방침에 따르면 탈퇴한 회원의 개인정보(아이디, 전자우편, 이름, 휴대전화번호 등)는 90일간 보관한 뒤 폐기하는 것이 원칙이다. 다만, 전자상거래법은 소비자와의 분쟁 대비를 위해 거래 기록이 있는 고객의 경우 대금 결제 및 재화 공급에 관한 기록을 5년간 보유하도록 규정하고 있다.

가장 큰 문제는 쿠팡이 이처럼 한시적으로 보관해야 하는 탈퇴(비활성화) 계정 정보를 활성화 계정 정보와 분리하여 저장 및 관리했는지 여부이다. 개인정보보호법 제21조는 **"개인정보처리자가 개인정보를 파기하지 않고 보존하는 경우 다른 개인정보와 분리해 저장·관리해야 한다"**고 명시하고 있다. 만약 쿠팡이 거래 기록이 있는 탈퇴 회원의 개인정보를 활성 회원과 구분하지 않고 하나의 서버에 통합하여 보관했다가 통째로 유출되었다면, 이는 명백한 개인정보보호법 위반에 해당한다. 황석진 동국대학교 국제정보보호대학원 교수는 이와 같은 상황에 대해 "분리해서 저장하지 않고 모든 서버를 한군데 통합해서 갖고 있지 않았나 의심된다"고 지적했다.

현재 개인정보보호위원회(개인정보위)는 이번 유출 사태와 관련하여 쿠팡이 비활성 계정을 분리해 저장·관리했는지, 그리고 법적 보유 기간(5년)을 초과한 거래 기록을 보유하고 있었는지 등 두 가지 핵심 쟁점을 중점적으로 조사할 방침이다. 개인정보위 관계자는 "분리하지 않았거나 보관 기간을 넘겼는데도 폐기하지 않았다면 모두 위법"이라고 설명하며, 쿠팡에 대한 법적 책임 유무를 철저히 가려낼 것임을 밝혔다. 유출된 정보의 규모와 탈퇴 고객 정보까지 포함된 점을 고려할 때, 쿠팡이 법적 의무를 준수하지 않았다면 상당한 규모의 과징금 부과와 형사 고발까지 이어질 가능성이 높다.