국내 이용자 1600만 명 시대, 커뮤니티서 도용·오용 의혹 증폭
시민단체 고발 “약관 문제 있어”, 외신도 “무차별 데이터 수집”

▎알리익스프레스(왼쪽)와 테무(오른쪽) 등 C-커머스는 중국 현지 제조업체와 이용자를 중간 유통 과정 없이 직접 연결하는 방식으로 운영된다. 이러한 중소 규모의 중국 제조업체에서 이용자 개인정보 관리를 위해 전문 인력과 비용을 투자할 것이라고 기대하기는 사실상 힘들다. / 사진:인스타그램 광고 캡처

부산에 사는 30대 남성 A씨는 최근 6개월 동안 중국계 전자상거래 플랫폼(C-커머스) 중 하나인 ‘알리익스프레스’로부터 주문하지 않은 택배 수십 개를 받았다고 한다. 상자 안에는 천 조각 등 쓰레기가 들어가 있거나, 내용물이 없는 경우도 있었다. 배송지는 A씨 자택은 물론 근처 학교나 관공서 등 다양했다.

전문가들은 ‘브러싱 스캠(Brushing Scam)’ 가능성을 높게 본다. 판매자가 판매 실적을 부풀리기 위해 불특정 다수에게 택배를 발송하는 행위로, 작년 중순부터 국내 커뮤니티에 비슷한 사례가 올라오고 있다. A씨 등은 “중국 플랫폼에서 물건을 산 뒤부터 이런 일이 발생하기 시작했다”고 주장한다.

전직 플랫폼 직원은 “중국 제조업체는 알리·테무 등 자국 플랫폼에 입점하는 것이 지상과제”라며 “플랫폼 입장에서는 제품 판매량을 가장 비중 있게 볼 수밖에 없기 때문에 제조업체에서 이를 악용하는 것”이라고 분석했다.

정부 산하 공공기관에서 근무하는 전직 해커는 “이 사건에서 ‘브러싱 스캠’보다 더 눈여겨봐야 할 대목이 있다”고 했다. 바로 A씨의 이름과 연락처가 적힌 택배가 A씨 자택은 물론 근처 학교나 관공서 등 다양한 곳으로 배송됐다는 부분이다. 전직 해커는 “제조업체가 A씨의 IP(Internet Protocol) 주소 등 대략적인 위치 정보를 토대로 배송했을 가능성이 높아 보인다”고 했다.

보이스피싱 등 범죄에 악용?

약관과 개인정보 처리방침 등을 종합하면, 알리·테무(TEMU)를 이용하기 위해서는 이용자 개인정보의 제3자 제공 및 국외 제3자 제공에 동의해야 한다. 제3자 로그인(카카오, 네이버, 구글, 페이스북, 애플, X 등)과 회원가입 시 약관과 개인정보 수집·활용에 동의하지 않으면 서비스 이용이 불가능하기 때문이다. 수집되는 개인정보는 ID, 이름, 연락처, 주소, 이메일, 우편번호 등 배송에 필요한 정보는 물론 SNS 프로필 사진, IP 주소, 접속 기기에 관한 정보 등 배송과 연관성이 크지 않은 정보까지 다양하다.

최근 온라인 커뮤니티에는 알리·테무 등 C-커머스(China+e-commerce) 플랫폼 이용자들이 제기하는 개인정보 유출·도용 의혹이 넘쳐나고 있다. 서울 중구에 사는 40대 남성 B씨도 그중 한 명이다. “망고를 주문하기 위해 앱을 설치한 이후 스팸 문자가 부쩍 늘긴 했다”는 것이 그의 주장이다.

테무 이용자인 30대 여성 C씨는 최근 ‘골드바의 주인공을 찾아라 당첨 안내’라는 제목의 문자를 받았다고 한다. 테무 쇼핑몰에서 5만원을 초과해 구매한 사은품으로 한국금거래소가 만든 200g 골드바를 지급할 테니 기한 내에 개인정보 수집에 동의해 달라는 내용이었다. 이상함을 느껴 테무 고객센터에 문의하자 “테무에서 진행하는 이벤트가 아니다”라고 답했다. 테무를 사칭한 스미싱(소비자를 유혹하는 광고) 문자였던 것이다.

이들은 수집된 개인정보가 제3자에게 유출됐을 가능성을 제기한다. 최저가를 자랑하는 C-커머스는 통상 중국 현지 제조업체와 이용자를 중간 유통 과정 없이 직접 연결하는 방식으로 운영된다. 이러한 중소 규모의 중국 제조업체에서 이용자 개인정보 관리를 위해 전문 인력과 비용을 투자할 것이라고 기대하기는 사실상 힘들다. 알리 플랫폼에 입점한 중국 제조업체는 18만8432개에 달한다. 하지만 상호와 이메일만 공개해 제조업체의 실체를 확인하기 힘들다. 테무는 중국 제조업체 수와 상호를 공개하지 않아 규모를 가늠할 수조차 없다. C-커머스를 통해 불특정한 제3자에 넘겨진 개인정보가 보이스피싱 등 범죄에 악용될 수 있다는 목소리가 꾸준히 제기되는 이유다.

일각에서는 C-커머스가 원활한 플랫폼 운영을 위해 이용자 개인정보를 제조업체로 제공할 수밖에 없다고 반론한다. 하지만 이용자 개인정보가 중국 당국에 제공된다면 얘기가 달라진다. 통신비밀보호법에 따라 법원의 허가를 받아야 개인정보를 수집할 수 있는 우리나라와는 달리 중국 당국은 자국 기업들이 저장하고 있는 개인정보를 허가 없이 수집할 수 있다. ‘중화인민공화국 국가정보법’ 제7조는 “중국의 모든 조직과 공민(시민)은 중국의 정보활동을 지지·지원·협력해야 한다”고 명시한다.

▎미국의 초대형 소셜 뉴스 웹사이트인 레딧(reddit)에는 C-커머스의 개인정보 유출 의혹 게시글이 넘쳐난다. / 사진:레딧 캡처

알리익스프레스는 중국의 인터넷 기업인 알리바바그룹의 자회사 항저우 알리바바광고유한공사가 운영하며, 테무의 모회사는 미국 나스닥에 상장된 PDD홀딩스(PDD Holdings)다. 애플리케이션·리테일 분석 서비스 와이즈앱·리테일·굿즈에 따르면, 지난 5월 기준 알리와 테무의 국내 활성 이용자 수는 각각 830만 명과 797만 명에 달한다. 알리·테무의 약관과 개인정보 처리방침, 중국 국가정보법 등을 종합하면 수백만 명의 국내 개인정보가 중국 당국으로 얼마든지 넘어갈 수 있는 것이다. 업계에서는 중국 당국이 자국 기업으로부터 개인정보를 수집해 국가를 대상으로 사이버 공격에 활용할 수 있다는 주장도 제기된다.

C-커머스의 약관과 개인정보 처리방침이 모호한 점도 불안감을 높이는 요인이다. 대표적인 예가 인터넷 쿠키 파일의 활용 부분이다. 쿠키는 이용자가 본 내용, 상품 구매 내역 등 다양한 정보를 담고 있는 일종의 임시 정보파일로, C-커머스를 이용하기 위해서는 이러한 쿠키와 유사 기술 사용에 동의해야 한다. 문제는 유사 기술이 무엇인지 C-커머스 측에서 투명하고 명료하게 설명하지 않는다는 점이다.

국내 시민단체 소비자주권시민회의(소비자회의)는 알리·테무를 개인정보 보호법 위반 등의 혐의로 고발한 상태다. 이용자가 개인정보의 제3자 제공 및 국외 제3자 제공에 포괄적으로 강제 동의토록 했다는 것이다.

中 국가정보법 “정보활동 협력해야”

▎최근 온라인 커뮤니티에는 알리·테무 등 C-커머스 플랫폼 이용자들이 제기하는 개인정보 유출·도용 의혹이 제기되고 있다. / 사진:국내 온라인 커뮤니티 ‘뽐뿌’ 캡처

박순장 소비자회의 사무처장은 “C-커머스가 사전에 이용자의 동의를 받는다고 하나, 동의하지 않으면 회원가입이 안 돼 상품 구매가 불가능하다”며 “저가의 상품으로 유인해 불공정하고 불법적인 약관과 개인정보 정책에 모두 동의하도록 강제한다”고 지적한다.

C-커머스발(發) 개인정보 유출·도용 의혹은 우리나라 사람들의 기우일까? 미국의 초대형 소셜 뉴스 웹사이트인 레딧(reddit)에는 C-커머스의 개인정보 유출 의혹 게시글이 넘쳐난다.

“최근에 나는 내 사진 앱에서 무작위 사진을 얻기 시작했다. 모든 사진에는 ‘10달러로 3’이라고 쓰여 있는데, 그것이 테무에서 온 것이라고 99% 확신한다(recently ive started to get random photos in my photo app. All these photos say the same thing ‘3 for $10’ and im like 99% sure its from temu).”

지난 2월에는 미국의 소비자 권리 전문 로펌 하겐스 버먼(Hagens Berman)이 테무를 상대로 집단 소송을 제기하기도 했다. 테무가 저렴한 제품을 통해 고객의 개인정보 보호 권리를 침해해왔다는 것이다. 하겐스 버먼은 고소장에서 “테무가 온라인 쇼핑앱에 필요하지 않은 정보와 관련해 최소 24개의 권한을 요청하고 있다”고 지적했다.

▎국내 시민단체 소비자주권시민회의는 C-커머스 플랫폼 알리익스프레스와 테무를 개인정보보호법 및 정보통신망법 위반 혐의로 경찰에 고발했다. / 사진:연합뉴스

외신과 분석기관도 C-커머스 이용을 경고한다. 영국 매체 ‘더 선(the sun)’은 익명의 사이버 보안전문가의 말을 빌려 “(C-커머스) 약관에 동의하면 개인정보가 오용되거나 소비자가 통제할 수 없는 방식으로 사용될 여지가 너무 많다”며 “사용자의 동의 없이 정보가 제3자에게 전달될 경우 사용자가 자신도 모르게 신원 도용 또는 사기에 노출될 수 있다”고 했다.

미국의 공매도 투자사 그리즐리 리서치(Grizzly Research)는 “테무가 미국 국익에 보안 위협을 가하는 교묘하게 숨겨진 스파이웨어라고 믿는다”며 “테무 앱은 가장 공격적인 형태의 스파이웨어 특성을 모두 갖추고 있다”고 주장했다.

“고객 데이터 제3자에게 판매하지 않아”

▎개인정보보호위원회는 C-커머스 등 해외 이커머스 업체 이용자의 개인정보가 국내법에 따라 보호되고 있는지 조사 중이다. 사진은 지난 12일 종로구 정부서울청사에서 제10회 전체 회의를 주재하고 있는 고학수 개인정보보호위원회 위원장. / 사진:연합뉴스

알리·테무 등 C-커머스는 이러한 의혹 제기를 전면 부인한다. 테무 관계자는 “테무는 중국 정부에 이용자 데이터를 제공한 적이 없으며, 중국 정부가 요청하더라도 이를 제공하지 않을 것”이라고 밝혔다. 이어 “테무는 이번 소송에서 제기된 혐의를 전면 부인하며, 부당한 소송에 대해 강력히 방어할 예정이다”라며 “테무는 개인정보 보호와 데이터 처리의 투명성을 핵심가치로 삼고 있으며 명확하고 단일한 목적, 즉 사용자에게 제품과 서비스를 제공하고 지속적으로 개선하기 위해 정보를 수집하고 있다”고 전했다.

개인정보보호위원회·공정거래위원회 등 국내 당국은 혹시나 모를 사태에 대비하고 있다. 공정거래위는 C-커머스 등 해외 이커머스 업체의 국내 대리인 지정을 의무화하는 전자상거래법 개정을 추진하고 있다. 분쟁이 발생했을 때 이를 책임지고 해결할 수 있는 실질적인 국내 조직이 필요하다는 취지다.

개인정보위는 C-커머스 등 해외 이커머스 업체 이용자의 개인정보가 국내법에 따라 보호되고 있는지 조사 중이다. 지난해 국정감사 때 지적된 개인정보의 중국 유출 가능성, 국외에 제공된 개인정보의 관리 필요성에 대한 후속 조치다. 특히 C-커머스 기업들이 개인정보를 국외에 제공할 수 있는 근거가 있는지를 집중적으로 조사하고 있는 것으로 전해진다. 개인정보보호법 제28조의 8에 따르면, 개인정보처리자는 정보 주체로부터 별도의 동의를 받는 등의 경우를 제외하고는 개인정보를 국외로 제공·위탁·이전할 수 없다. 개인정보위는 이들 기업이 해당 조치를 적절히 취했는지 들여다보고 있다.

알리·테무를 포함해 네이버, 카카오, 구글, 쿠팡 등 총 49곳의 ‘개인정보 처리방침’에 대한 평가도 실시한다. 양청삼 개인정보위 개인정보정책국장은 “우수한 사례를 발굴하는 데 중점을 두되, 법 위반 우려가 있는 경우에는 개선을 유도하는 방향으로 추진할 계획”이라고 밝혔다.

- 최현목 월간중앙 기자 choi.hyunmok@joongang.co.kr