개인정보보호위원회(이하 개보위)가 중국 전자상거래 기업 '알테쉬(알리·테무·쉬인)'에 칼을 빼 들었다. 알테쉬가 이용자의 개인정보 보호에 취약하다는 지적이 제기돼서다. 무분별한 개인정보 수집과 그에 따른 반출 문제가 거론됐다. 중국 정부가 1400만 개인정보를 수집할 수 있다는 점도 우려 사항이다.
개보위는 이에 지난 2월부터 관련 조사에 착수했다. 사실상 조사를 마무리한 개보위는 오는 10일 전체회의에서 처분을 내릴 것으로 보인다. 다만 △국내 기업이 아닌 점 △중국과의 통상 마찰이 발생할 수 있다는 점 등의 이유로 개보위가 제재를 내리더라도 실효성이 낮을 거란 목소리도 나온다.
"알테쉬 이용하고 나서 '국제발신' 스팸 문자 급증"
이용자가 급증하면서 개인정보가 침해됐다는 글들 또한 계속해서 늘어나고 있다. 이용자 김모씨는 "지인이 '알리깡'이라면서 제품을 저렴하게 구매할 수 있다고 하길래 회원가입을 했는데, 이후에 하루 수십건의 스팸 문자가 쏟아졌다"며 "예전엔 대출이나 '주식리딩방' 등 광고가 날아왔다면 이젠 '국제발신' 스팸이 주로 오고 있다"고 언급했다. 김씨가 받은 문자엔 '[국제발신] 안녕하세요. 나는 당신에게 연락을 해왔. 연락할 수 없. 다음주에 한국에 가고 싶. 저에게 연락주LINE:tln124"와 같은 알 수 없는 내용이 담겨 있었다.
알테쉬 이용자가 해외 직접구매(직구)를 한다는 점을 노려 관세청을 빙자해 관세가 연체됐다는 스팸 문자도 확인됐다. A씨가 인터넷 커뮤니티에 '알리 테무를 쓰시는 분은 조심하길 바란다'는 제목 글을 통해 "[국제발신] 고객님[관세징수과]입니다. 연체세금 86만3589원 장기연체 확인됨으로 관세징수 예정입니다"라는 스팸 문자를 받았다고 전했다.
관세청을 빙자한 스팸 문자를 받은 이용자는 A씨만이 아니었다. 관세청 고객지원센터에 접수된 인터넷 상담을 조회한 결과 '관세징수과'와 관련된 스팸 문자를 문의한 글이 총 15건에 달했다. 실제 이 같은 문자를 받은 이용자는 더 많을 것으로 예상된다.
개인정보 국외반출, 이용자 제대로 된 동의 있었나
이번 사건의 가장 큰 문제는 국내 이용자의 개인정보가 제대로 된 동의 없이 중국으로 넘어갈 수 있다는 점이다. 소비자주권시민회의는 지난 5월 "알리와 테무가 이용자에게 상품구매 조건과 무관한 독소조항이 담긴 회원약관과 개인정보처리 지침을 포괄적으로 동의하도록 강제했다"며 이들을 경찰에 고발했다.
당시 테무의 이용약관엔 '모든 사용자 제출 내용이 기밀이 아니며 독점적이지 않음을 인정하고 이에 동의하며 당사는 이용자에게 제한이나 보상 없이 어떠한 방식으로든 사용자 제출 내용을 자유롭게 공개하거나, 양도, 배포 및 기타 방식으로 사용할 수 있다'고 명시돼 있었다. 다만 소비자들이 일반적으로 회원가입 시 약관을 상세히 살피지 않는다는 점을 고려해 이를 적극 알렸어야 한다는 지적이 나온다. 테무는 문제가 불거지며 같은 달 이 같은 약관을 변경하기도 했다.
알리와 테무가 가진 개인정보를 처리하는 국외 업체에 대한 명확한 정보가 없다는 점도 문제다. 소비자주권시민회의 측은 "개인정보 처리를 위한 예산, 전문인력 배치, 개인정보 유출 여부 등 무엇 하나 확인되지 않고 있다"며 "인터넷 검색조차 안되는, 명칭만 회사인 곳도 있다"고 전했다.
이같이 반출된 정보가 중국 법령에 따라 중국 정부·수사기관 등에 제공될 수 있다는 점도 문제다. 중국의 국가정보법 7조는 '중국의 모든 조직과 국민은 중국의 정보 활동을 지지·지원·협력해야 한다'고 규정한다. 중국 정부가 이용자의 개인정보를 요구할 시 알테쉬가 이에 따라야 한다는 것이다. 정보를 공유할 이유가 명확하지 않고 개인정보의 범위에 제한이 없어 국가 차원의 사이버 보안 문제로도 확장될 가능성이 있다.
개보위,오는 10일 조사 결과 발표···실효성 문제 제기
개보위는 지난 2월부터 알테쉬의 개인정보보호법 위반 의혹을 확인하기 위해 조사에 착수했다. 개인정보보호법상 △개인정보 처리 방침 △국외 이전 △안전조치 의무 등 적정성을 점검했다. 국무총리 산하 장관급 중앙행정기관인 개보위는 법 위반 사항이 확인되면 과징금·과태료 부과를 의결할 수 있다. 최근 개인정보보호법에 신설된 '국외 이전 중지 명령' 제도를 통해 국외 이전도 중지 가능하다.
그러나 개보위가 처분 판단을 내린다 하더라도 실효성이 있을지에 대한 지적이 나온다. 물론 국내법은 속지주의를 원칙으로 하는 만큼 알테쉬의 국내 사업 영역은 개인정보보호법에 따라야 하지만 제재할 경우 중국과 통상 마찰 등이 우려되기 때문이다.
개인정보를 수집·관리하는 데이터센터와 기관이 중국 현지에 있다는 점도 문제다. 한 업계 관계자는 "해외에 서버가 있는데 이를 어떻게 관리 감독하겠느냐"며 "개인정보를 제대로 보호하겠다고 약속하고선 지키지 않으면 이를 어떻게 확인할 것이냐"고 지적했다.