쿠팡과 지마켓 등 국내외 온라인 상거래 플랫폼에서 잇따라 대규모 개인정보 유출 및 무단 결제 사고가 발생하며 이용자들의 불안이 최고조에 달했다.

특히 쿠팡 용의자가 중국 국적의 전 개발자로 파악되고, 신세계-알리바바 합작인 지마켓 사태까지 겹치면서 알리익스프레스, 테무 등 중국계 플랫폼 전반의 보안 시스템에 대한 불신이 확산되고 있다.

미국에서는 테무가 사용자 데이터 탈취 혐의로 피소되는 등 해외 플랫폼의 ‘데이터 주권’ 문제가 전 세계적인 이슈로 떠올랐다.

■ 3370만 건 유출 쿠팡, 중국 개발자 연루… 대형 로펌 집단소송 확대

7일 업계에 따르면 쿠팡에서 발생한 3370만 건 규모의 고객 정보 유출 사고는 중국 국적의 전 보안·인증 시스템 개발자가 용의자로 지목되면서 ‘중국발 보안 문제’에 대한 우려를 증폭시켰다. 해당 직원은 퇴사 후에도 내부 시스템에 무단 접근한 것으로 추정된다.

대규모 피해가 확인되자 법무법인 LKB평산 등 대형 로펌이 직접 나서 쿠팡을 상대로 한 집단소송 참여자를 모집하는 등 법적 대응이 본격화되고 있다. 로펌 측은 1인당 최소 50만 원 이상의 위자료 청구를 시작으로, 재산적 손해가 확인되면 징벌적 손해배상 청구까지 진행할 계획이다.

지마켓에서도 60여 명의 고객 카드 무단 결제 사실이 드러났는데, 지마켓은 해킹이 아닌 유출된 개인정보를 활용한 로그인 결제라고 설명했다. 그러나 신세계와 중국 알리바바의 합작 구조가 다시금 도마 위에 오르면서 중국계 플랫폼과의 협력에 대한 이용자 불안을 키우고 있다.

■ 테무, 미국서 ‘데이터 탈취’ 피소… 마이크·카메라 무단 접근 의혹

국내외에서 중국 관련 보안 이슈가 불거지는 가운데, 중국계 대형 이커머스인 테무(Temu)는 최근 미국 애리조나주 검찰청으로부터 불법적인 사용자 데이터 수집 및 개인 정보 침해 혐의로 피소됐다.

검찰은 테무 앱이 일반적인 쇼핑 앱의 수준을 넘어 사용자의 정확한 위치, 마이크, 카메라, 심지어 휴대폰에 설치된 다른 앱에서의 개인 활동 등 민감한 정보를 사용자 인지나 동의 없이 무단으로 수집했다고 주장했다. 이는 중국 기반 이커머스 앱의 데이터 프라이버시 침해 우려를 전 세계적으로 부각시키는 계기가 되었다.

■ 알리·테무, 개인정보 ‘해외 이전’ 범위 넓어… 이용자 선택권 제한 지적

알리익스프레스와 테무는 미국계 아마존·이베이에 비해 해외 판매자에게 제공하는 개인정보의 범위가 훨씬 넓은 것으로 나타났다.

특히 주문·배송 과정에서 이름, 주소 외에도 개인통관고유부호, 결제 정보, 공동현관 출입번호 등 민감 정보가 해외 판매자에게 공유될 수 있다.

더 큰 문제는 이용자가 정보 제공에 동의하지 않으면 서비스 이용이 제한되어, 사실상 정보 제공에 대한 선택권이 박탈된다는 지적이다. 또한, 해외 플랫폼들은 주요 서버가 국외에 있어 유출 사고 발생 시 국내 법 적용과 감독 기관의 책임 소재가 불분명해지는 문제가 발생한다.

알리익스프레스는 지난해 개인정보 해외 이전 고지 의무를 위반해 개인정보보호위원회로부터 19억 7800만 원의 과징금을 부과받기도 했다.

■ “국적보다 내부 권한 통제가 핵심”… 쿠팡플레이도 타격 우려

이러한 사고가 잇따르자, 업계에서는 “보안 수준은 국적이 아닌, 기업이 내부 접근 권한을 어떻게 통제하고 감시하느냐가 핵심”이라는 목소리가 나온다.

국내 기업 역시 외국인 인력이 다수 포함돼 있으며, 국적만으로 보안 수준을 판단하기 어렵다는 것이다. 특정 개발자에게 과도한 권한이 주어지지 않도록 내부 구조를 설계하고 민감 정보 접근을 제한하는 것이 근본적인 해결책으로 제시된다.

한편, 쿠팡의 대규모 정보 유출 여파는 연계 서비스인 쿠팡플레이에도 미치고 있다.

최근 스포츠 중계 콘텐츠를 앞세워 OTT 시장 2위(MAU 818만 명)를 차지하며 성장세를 보였던 쿠팡플레이는, 와우 멤버십 가입자들의 정보 유출 우려와 더불어 콘텐츠 내 광고 노출 확대 계획까지 겹치면서 이용자 이탈이 가속화될 가능성이 커졌다.