쿠팡이 운영하는 온라인동영상서비스(OTT) '쿠팡플레이'의 독점 티켓 예매 서비스를 소비자가 이용하는 과정에서 생성되는 개인정보를 쿠팡이 직접 관리 또는 점검·확인할 수 없는 구조로 운영되고 있는 것으로 17일 확인됐다.
가수 지드래곤(GD) 콘서트와 손흥민 축구 선수의 내한 경기 등 주요 공연·스포츠 이벤트 티켓을 구매하려면 쿠팡 계정(ID)을 만들고 유료 멤버십 '와우 회원'에 가입해야 한다. 그러나 해당 과정에서 등록·처리되는 개인정보에 대해 쿠팡 측은 "외부 협력사가 처리해 확인할 수 없다"는 입장이다. 개인정보 관리 책임의 공백이 발생한 것 아니냐는 지적이 나온다.
국회 과학기술정보방송통신위원회 소속 이상휘 국민의힘 의원실이 쿠팡으로부터 제출받은 자료에 따르면, 쿠팡플레이 티켓 예매는 쿠팡 계정(One ID)으로 로그인한 뒤 외부 협력사가 운영하는 별도 구매 페이지를 통해 이뤄진다. 이 과정에서 이용자의 이름과 회원 번호가 외부 협력사에 제공된다. 이때 좌석 선택과 결제, 배송지·수령인 정보 등 티켓 구매에 필요한 핵심 개인정보의 수집과 처리는 외부 협력사가 담당한다.
쿠팡플레이 티켓은 쿠팡 이용자 중에서도 와우 회원만 이용할 수 있는 독점 서비스다. 비회원이 해당 공연·스포츠 경기를 보고 싶다면 쿠팡 계정을 만들고 와우 회원 가입을 해야만 가능하다. 그 과정에서 생성되는 개인정보에 대해 쿠팡은 직접 점검하거나 확인할 수 없다는 입장이다.
특히 쿠팡은 최근 발생한 3370만건 규모의 개인정보 유출 사고와 관련해 "쿠팡플레이 티켓 구매 정보는 쿠팡과 공유되지 않아 이번 유출 사고에 포함됐다고 보기 어렵다"고 했다. 다만 이를 검증할 수 있는 로그 기록이나 데이터베이스(DB), 접근 권한(IAM) 구조 등은 영업기밀을 이유로 함구하고 있다.
보안 관리 역시 외부 협력사에 위임돼 있다. 쿠팡은 쿠팡플레이 티켓 구매와 관련해 별도의 자체 보안 정책을 적용하지 않는다는 입장이다. 특히 개인정보 접근 권한 배정표나 API·DB 접근 로그도 협력사가 관리한다는 이유로 공개하지 않았다. 쿠팡 측은 "외부 협력사와의 개인정보 처리가 관련 법령을 준수해 이뤄지고 있다"며 "이용자로부터 개인정보 관련 사전 동의도 받고 있다"고 했다.
이상휘 국민의힘 의원은 "쿠팡플레이 단독 판매 티켓은 쿠팡이 독점적으로 운영하는 서비스다. 사실상 이용자가 이를 이용하지 않고서는 해당 콘텐츠를 접할 수 없는 구조"라며 "이용자가 쿠팡을 사용할 수밖에 없도록 해놓고 그 과정에서 생성되는 개인정보 보호 관리·책임은 외부 협력사에만 맡긴다는 건 관리 부실이자 책임 회피"라고 주장했다. 이어 "정말 쿠팡에 책임이 없다면, 관련 로그 기록과 접근 권한 구조 등 검증 자료부터 제출하는 게 순서"라고 했다.