[데스크 시각] 알리 손잡은 G마켓, 개인정보는 안녕할까요

▲석유선 생활경제부장

“G마켓 개인정보는 안전할까? 회원 탈퇴 안 해도 되는 걸까?”

국내 대표 이커머스 G마켓이 중국 알리바바그룹과 신세계그룹의 합작법인 자회사로 편입된다는 소식에 지인들이 하나둘 물음표를 던지고 있다. 안타깝게도 그들에게 “크게 걱정할 일은 없어”라고 딱 잘라 말하지 못하고 있다. 그도 그럴 것이 중국 이커머스(C커머스)에 대한 우리 국민의 불신이 생각보다 깊기 때문이다.

알리바바그룹이 운영하는 대표 C커머스 알리익스프레스만 해도 이미 전력이 있다. 알리익스프레스는 한국법인(알리익스프레스 코리아)까지 설립, 최근 2~3년 새 사세를 확장하고 있다. 알리익스프레스(알리) 국내 이용자는 이미 800만 명을 훌쩍 넘겼다. 이렇게 알리의 덩치가 커지면서 개인정보보호 문제가 불거졌다. 알리는 입점 판매자에게 플랫폼을 제공하고, 판매 금액의 일정 비율을 수수료로 받는 ‘오픈마켓’이 핵심 사업 구조다. 알리에서 이용자가 상품을 구매하면 판매자가 상품을 배송하기 위해 이용자의 개인정보를 국외 판매자에게 제공(이전)하게 되는 것이다.

알리는 자체 약관인 ‘개인정보 처리방침’을 통해 이용자 개인정보의 제3자(판매자) 제공 및 국외 제3자 제공 관련 동의를 받고 있다. 동의하지 않으면 아예 서비스를 이용할 수 없는 구조다. 그런데 알리가 약관에서 정의한 판매자에게 이전하는 개인정보 종류는 생각보다 다양하다. 구체적으로 △구매에 사용된 은행 계좌 정보 또는 유사한 결제 정보 △결제에 사용된 휴대폰 번호 △해외 카드 결제 시 사용된 외국 카드 번호 △현금영수증 정보 △배송 위치 △상세 접근 정보(공동출입문 접근 번호) △제품 배송 완료 사진(이용자 주택 사진) 등이다.

그런데 지난해 7월 개인정보보호위원회(개인정보위)가 분석한 결과, 그동안 알리는 약관 동의를 통해 수집한 한국 이용자의 개인정보를 중국의 판매자 18만여 곳에 넘긴 것으로 드러났다. 개인정보위는 국내 소비자에게 해외로 자신의 정보가 넘어간다는 사실을 제대로 알리지 않은 책임을 물어, 알리에 ‘과징금 약 20억 원’을 부과했다. 개인정보보호법에서 정한 개인정보 국외 이전 절차를 위반, 과징금이 부과된 업체는 알리가 처음이었다. 그만큼 개인정보위는 중국 판매자에 전달된 우리 국민의 개인정보 내용이 중대하고 알리 측의 고의 과실 여부가 크다고 판단한 것이다. 실제로 알리는 홈페이지와 애플리케이션상에서 회원 탈퇴 메뉴를 찾기 어렵게 해놓고, 계정 삭제 페이지를 영문으로 표시해 소비자 불만이 컸다.

우리 정부의 과징금 철퇴를 맞게 된 알리는 즉각 보완책을 마련했다. 개인정보위 조사 과정에서 개인정보 처리 방침을 개정하는 등 ‘자진 시정조치’도 했다. 또한 거래 완료 후 90일이 지나면 고객 개인정보는 자동 익명 처리되는 등 보안 조치를 마련하는 등 소비자의 개인정보 보호를 위해 한국 규제당국과 적극 협력하겠다는 입장도 밝혔다.

비단 C커머스만 개인정보보호에 허술한 게 아니었다. 편의점 GS25, 홈쇼핑 GS숍, 슈퍼마켓 GS프레시를 운영하는 GS리테일도 6일 고객의 개인정보를 해킹당하고 말았다. 무려 9만여 명의 개인정보가 GS리테일 웹사이트에서 유출된 것이다. 지난해 12월 27일부터 4일까지 고객의 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목 등이 유출된 것으로 추정된다. GS리테일은 해킹 수법에 대해선 ‘크리덴셜 스터핑(Credential Stuffing)’이라고 설명했지만, 유출된 개인정보가 어디로 어떻게 사용됐는지 파악도 못 하고 있다. 관련해서 공식 사과문도 내지 않았고, 그저 홈페이지에 팝업 안내문만 냈을 뿐이다. GS리테일의 개인정보 유출 사고는 과거에도 있었다. 2021년 6월 이벤트 당첨자 발표 과정에서 담당 직원의 실수로 고객 6000여 명의 개인정보가 SNS(사회관계망서비스)에 3시간가량 노출됐다. 2020년에도 라이브커머스 진행 과정에서 9건의 개인정보를 유출, 개인정보위로부터 과태료 1120만 원 처분을 받았다.

지인들이 중국 기업과 손잡게 된 G마켓을 향해 개인정보 유출을 의심하는 것은 이런 사례가 하루 이틀이 아니기 때문이다. 통신사나 홈페이지, 앱상 개인정보는 이렇게 매번 ‘소 잃고 외양간 고치기’ 식으로 치부되기 일쑤였다. 특히나 배송이 필수인 이커머스와 리테일 업체 회원으로선 집 주소까지 유출되기 쉽다.

갑자기 모골이 송연해진다. G마켓 유니버스클럽인 내 개인정보를 중국 판매자가 알게 된다면? 찝찝하기 짝이 없다. 그래도 의리상 회원 탈퇴는 참아본다. 그저 개인정보위의 날 선 ‘감시 칼날’만 쳐다볼 수밖에 없을 뿐이다.