4일 서울경제신문 취재를 종합하면 쿠팡은 지난해 11월 회사의 이용 약관 제38조(회사의 면책)에 이 같은 내용의 조항을 삽입했다. ‘회사는 서버에 대한 제3자의 모든 불법적인 접속 또는 서버의 불법적인 이용으로부터 발생하는 손해(중략)에 관하여 책임을 지지 않는다’는 문구다. 지난해 3월까지 존재하지 않았던 조항이다.

국내 e커머스 업계에서는 ‘제3자의 모든 불법 접속’ 등을 포괄한 면책 조항은 이례적이라고 보고 있다. 실제로 G마켓·SSG닷컴·11번가 등 주요 e커머스 사업자들 가운데 이용 약관에 쿠팡과 같은 포괄적인 면책 조항을 둔 곳은 없다. e커머스 업계 관계자는 “국내 e커머스 플랫폼에서는 찾아보기 어려운 약관 조항”이라고 말했다.

소비자에게 약관 변경을 제대로 알리지 않은 점도 문제의 소지가 될 수 있다는 분석이다. ‘약관의 규제에 관한 법률’에 따르면 사업자가 약관을 소비자에게 불리한 내용으로 바꿀 경우 반드시 사전 고지해야 한다. 고지 없이 일방적으로 변경한 약관이나 소비자 권리를 과도하게 제한하는 약관은 무효라는 것이 법조계의 설명이다.

일각에서는 쿠팡의 대규모 개인정보 유출 사고의 용의자가 지난해 12월 퇴사한 것으로 알려진 만큼 쿠팡이 이를 전후해 위험을 사전에 감지하고 약관을 손질했을 가능성도 제기되고 있다.

김승주 고려대 정보보호대학원 교수는 “통상적으로 사업자가 정밀하고 고도화된 해킹 수법에 대해서는 면책 조항을 넣는 경우가 있지만 쿠팡처럼 면책 범위를 과도하게 넓힌 것은 이례적”이라며 “회사가 정보 유출 가능성을 염두에 두고 이를 약관으로 회피하려 한 것으로 합리적인 의심을 해볼 수 있다”고 밝혔다.

이에 대해 쿠팡 관계자는 “해당 조항은 일반적으로 통용되는 면책 문구로서 약관 일원화 작업 과정에서 타 약관에 있던 내용을 추가한 것”이라며 “제3자의 불법행위에 따른 손해라고 해도 회사에 고의 과실이 있을 경우 회사가 책임을 진다는 내용”이라고 말했다.