[소셜밸류=한시은 기자] 쿠팡 개인정보 유출 사고를 계기로 이커머스 보안에 대한 경각심이 고조되는 가운데, 시장 우려는 국내를 넘어 중국발 전자상거래 플랫폼으로까지 확산하고 있다. ‘C커머스’(알리익스프레스·테무·쉬인)의 사각지대 문제도 다시 부각되는 모습이다.

2일 업계에 따르면, 중국계 이커머스 플랫폼들은 지난 몇 년 사이 국내 개인정보보호 법규를 위반해 제재를 받은 사례가 잇따랐다. 알리익스프레스는 지난해 7월 국외 판매자 18만여 곳에 국내 이용자 개인정보를 제공하면서 관련 절차를 이행하지 않아 과징금 약 20억원을 부과받았다. 

 

▲ 알리익스프레스가 글로벌 확장 속 개인정보 보호 체계 고도화에 나섰다./사진=알리익스프레스 제공

 

또 테무는 지난 5월 국내 이용자의 정보를 배송 목적 외에도 다수 해외 사업자에게 위탁 또는 보관하면서 이를 개인정보처리방침에 명시하지 않았고, 국내 대리인을 지정하지 않은 채 운영한 사실이 드러나 개인정보보호법 위반으로 약 14억원의 과징금 처분을 받았다.

이 과정에서 테무는 한국 판매자 모집 과정에서 신분증과 얼굴 동영상 등을 수집하고, 법적 근거 없이 주민등록번호를 처리했다는 지적도 나왔다. 해당 정보는 조사 과정에서 모두 파기 조치됐으나, 과도한 개인정보 수집과 처리 방식이 문제로 지목됐다.

◆ 알리익스프레스의 신뢰 회복 전략…보안 투자 확대

알리익스프레스는 국내 보안 우려가 커진 상황에서 정보보호 역량 강화에 속도를 내고 있다. 알리에 따르면 현재 국제 기준에 부합하는 보안 체계를 갖추고 있고, 한국 법령 준수를 위한 시스템 개선에도 투자를 확대하고 있다.

특히 국내 사용자 데이터 처리 안정성을 확보하기 위해 한국 내 데이터센터 설비 운영과 함께 기밀성·무결성·가용성 확보를 위한 관리체계 전반을 지속 고도화하고 있다는 설명이다. 다수의 글로벌 정보보호 인증을 취득해 보안 수준도 검증받고 있다.

또 알리는 국제 정보보안관리체계 인증인 ISO 27001, 개인정보관리체계 인증 ISO 27701, 결제 보안 국제 표준 PCI DSS 등을 보유하고 있다. 싱가포르 사이버보안청의 ‘인터넷 위생 등급’ 평가에서도 “대다수 보안 모범 사례를 이행했다”는 평가를 받은 바 있다.

내부적으로는 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)가 주도하는 리스크 관리 위원회를 운영하고, 정기적인 취약점 점검과 침투 테스트, 데이터 유출 대응 훈련 등을 시행하고 있다.

이에 더해 한국 내 현지 대리인 지정과 국내 법적 요구사항 평가, 구매자 개인정보 관련 요청 대응 체계도 마련했다는 입장이다.

◆ 국경 넘나드는 데이터…구조적 한계 남은 C커머스

전문가들은 중국계 플랫폼들의 개인정보 유출 우려가 단순 관리 소홀 문제가 아니라 구조적 특성에서 비롯된 보안 리스크라고 지적한다.

해외직구 기반의 C커머스는 법인과 서버 위치가 싱가포르·미국 등 역외 국가에 있고, 실질적인 주문 처리와 물류는 중국 현지 판매자와 업체들이 담당하는 경우가 대부분이다. 이 과정에서 국내 소비자 정보가 여러 국가를 거쳐 이동하게 되지만, 어떤 경로를 통해 누구에게 전달되는지 쉽게 파악하기 어렵다는 지적이다.

또 동의 방식 역시 포괄적 문구로 구성돼 있어 개인정보 수집·제공·국외 이전에 대한 선택권 행사가 사실상 제한된다는 지적도 나온다. 국외 이전 국가의 정보보호 수준이나 안전조치에 대한 설명 역시 부족해 소비자가 자신의 정보가 어떤 규제 아래 관리되는지 확인하기 어렵다는 점도 문제로 꼽힌다.

C커머스 기업들은 한국 개인정보보호법을 준수하겠다고 선언하고 있다. 다만 실제 개인정보 처리 과정이 여러 국가·여러 사업자에 분산돼 있어 감독과 규제의 손길이 미치기 어려운 사각지대가 발생할 수밖에 없는 셈이다.

◆ 중국 규제 리스크, 보안 투자만으론 못 지운다

중국 기업이라는 태생적 특성에서 비롯된 우려도 여전히 남아 있다. 중국 사이버보안법 제28조는 네트워크 운영자가 공안기관과 국가안전기관의 국가 안보 유지 및 범죄 수사에 대한 활동을 법에 따라 지원·협조해야 한다고 규정하고 있다.

또 중국 국가정보법 제7조는 모든 조직과 개인이 국가 정보 활동에 협력해야 한다는 의무를 부여한다. 이와 관련해 국내외에서는 중국 정부가 국가안보 또는 수사를 명목으로 기업에 이용자 정보를 요구할 수 있는 법적 근거가 될 수 있다는 우려가 제기된다.

알리익스프레스는 알리바바그룹 계열의 중국 기업이 운영하는 글로벌 플랫폼으로, 중국 내 서버와 운영 조직을 갖추고 있다. 이 때문에 해당 법령 적용 대상인 ‘네트워크 운영자’ 및 ‘조직’에 포함돼 요청 시 정보 제공 의무가 발생할 소지가 있다는 지적이 나온다.

다만 중국 측은 이러한 우려에 대해 해당 법규는 ‘법에 따른 합법적 정보 요구’에 한정된 규정으로, 이를 근거로 기업이 해외 이용자 정보를 무차별적으로 제공할 수 있다는 해석은 과도하다는 입장이다.

[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]