중국 전자상거래 플랫폼 타오바오에서 한국 IT 기업들의 계정을 거래하는 불법 사례가 성행하고 있는 것으로 나타났다. 최근 대규모 해킹 사태로 보안 허점을 노출한 쿠팡을 비롯해 네이버, 카카오 등 포털과 주요 게임사의 계정 거래도 이뤄지고 있는 것으로 확인됐다. 국내법상 해외 플랫폼을 직접 제재할 수 있는 수단이 없어 이용자 보호에 취약하다는 지적이 나온다.    

18일 국민의힘 김장겸 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 2024년 12월부터 2025년 12월까지 중국 온라인 쇼핑몰(타오바오·시엔위)과 포털(바이두)에서 탐지된 계정 거래 게시물은 네이버가 363건으로 가장 많았다. 뒤를 이어 카카오 97건, 쿠팡이 45건을 차지했다.

김장겸 의원실은 계정 거래 과정에서 판매자가 계정 ID와 비밀번호뿐 아니라 알뜰폰 번호, 성명, 주민등록번호 일부(뒷자리 1자리)까지 넘겼다고 설명했다. 구매자가 즉시 해당 쿠팡 계정으로 로그인하지 않자 재촉하는 연락이 오기도 했다. 이후 판매자는 위챗을 통해 휴대전화 인증번호를 전달했고 쿠팡 내 로그인 과정에서 개인정보 인증 절차까지 마쳤다.

게임사 계정 거래도 예외가 아니다. 넥슨·엔씨소프트·넷마블 등 주요 게임사는 약관으로 계정 양도와 거래를 금지하고 있지만 타오바오 일부 판매자는 접속이 불가능한 한국 서버 계정을 판매했다. 특히 서버 우회 방법, 대리 접속, 인증, 결제 가이드까지 묶어 상품화했다.

KISA가 개인정보 노출 및 불법 유통 게시물에 대한 모니터링을 지속하고 있으나, 계정 추적 등 조사 권한이 없어 단순 게시글 삭제 요청에 그치고 있는 실정이다. 특히 지난해 1월 알리바바가 타오바오 한국 법인을 설립하며 당국의 조사 접근성이 높아졌음에도, 개보위의 조사나 제재는 단 한 건도 이뤄지지 않은 것으로 파악됐다.

개보위 조사1과 관계자는 “현재까지 타오바오를 상대로 별도의 조사나 제재한 사례는 없다”며 “플랫폼사의 시스템 과실에 의한 유출이라기보다 당사자 간 불법 거래 정황인 만큼 조사에 착수하기는 어려워 보인다”고 말했다.

개인 간 해킹이나 계정 탈취, 불법 거래 등은 경찰 수사 영역으로 중개 플랫폼사가 이를 방조했다는 사유만으로는 개보위 차원의 직접 조사나 처벌에 한계가 있다는 의미다.

김장겸 의원은 “게시글 삭제 요청에 그치는 현재의 대응으로는 개인정보 불법 유통과 관련 범죄를 차단하기 어렵다”며 “신속한 범죄 추적이 가능하도록 특사경을 포함해 실질적인 제도 정비가 시급하다”고 강조했다.

쿠팡·네이버·카카오 이용자, 유출 피해 확인 ‘제약’

개인정보 유출 피해가 나날히 커지고 있지만, 국내 이용자가 이를 확인할 수 있는 기능은 여전히 미흡하다. 쿠팡·네이버·카카오는 로그인 이력 조회 기능을 제공할 뿐, 해킹이나 개인정보 유출 여부를 직관적으로 확인할 수 있는 별도 사이트나 전용 서비스는 운영하지 않고 있다. 제공되는 로그인 이력 역시 국가와 IP, 최초 로그인, 최근 로그인 정보만 확인할 수 있는 수준이다.

이는 계정 보안 점검 서비스를 운영하며, 상세한 로그 기록을 제공하는 구글과 대비된다는 지적이다. 구글은 시, 구까지 특정하며 어떤 서비스를 이용했는지까지 안내한다. 특히 크롬과 안드로이드에 기본 탑재된 기능을 통해 사용자가 저장한 비밀번호가 이미 알려진 대규모 유출 데이터베이스(DB)에 포함됐는지도 자동으로 검사한다.

국내 이용자가 개인정보 유출 여부를 확인하려면 KISA의 ‘털린 내 정보 찾기’ 서비스를 이용해야 한다. 쿠팡 개인정보 유출 사태 전후 약 2주간(11월 28일~12월 11일) 해당 서비스를 통해 개인정보 유출 여부를 조회한 이용자는 10만7802명으로 집계됐다. 이는 전년 동기(1만3200명) 대비 717% 증가한 수치다. 다만 3770만명에 달하는 유출 규모에 비하면 참여율은 극히 낮은 수준이다.

처벌 여전히 미약… 보안 전문가 “매출 10% 과징금 실효성 적어”

전문가들은 국내 IT 기업들이 보안 투자와 관리에 등한시하는 주요 원인으로 2023년 개인정보 보호법 개정 이후 보안 위반 행위에 대한 처벌이 형사처벌에서 과징금 및 행정처분 중심으로 완화된 점을 지적한다.

황석진 동국대 정보보호대학원 교수는 “법 개정으로 대표자에 대한 형사 제재 조항 일부가 삭제된 영향이 크다”며 “김범석 쿠팡 의장이 직접 책임을 지지 않는 모습에서 보듯, 강제력 부재로 기업의 책임 회피가 심각해지고 있다”고 지적했다. 그는 이어 “대표이사를 겨냥한 직접 제재와 징벌적 손해배상 제도 도입이 반드시 필요하다”고 강조했다.

최근 국회 정무위원회에서 중대한 개인정보 유출 사고를 낸 기업에 연간 전체 매출의 최대 10%까지 과징금을 부과하는 법안이 통과됐지만, 실효성에는 의문이 제기된다.

황 교수는 “ISMS-P 인증을 받은 기업은 과징금 경감 조항이 적용돼 실제 부담은 크지 않을 가능성이 높다”며 “인증 취소 처분과 함께 사회적 눈높이에 맞는 현실적인 과징금 부과가 병행돼야 한다”고 말했다.

천선우 기자
swchun@chosunbiz.com

• “배달플랫폼 수수료 최대 30% 육박”… 점주 95% “부담된다”
• 현대차그룹, 임원 인사… 하러 등 4명 사장 승진
• 4년새 20배 커진 액티브ETF… 수익률도 美 증시 훌쩍
• 유튜브, 2029년부터 오스카 아카데미 시상식 독점 중계
• 네이버·카카오 본사에 폭발물 설치 위협… 재택근무 전환