금융감독원에서는 지난 3월 온라인 쇼핑물이나 해외 직구사이트에서 물건을 구입하고 카드로 결제 과정에서 해킹을 통해 실제의 결제창을 똑같이 모방한 결제창이 가능하다고 지적했다. 취약한 해외 직구에서 모방된 피싱 결제창을 통해 사기를 치는 수법이다.

해외직구 온라인 사이트를 사칭하는 앱까지 개발돼 이용객들의 카드정보를 탈취해 인증절차 없이 카드번호와 비밀번호만으로 결제가 가능한 온라인 쇼핑몰에서 물건을 구입하고 팔아넘기는 수법까지 난무하고 있다.

해외 직구 시에는 개인정보 유출 방지를 위해 주민번호 대신 개인 통관번호가 이용되고 있다. 그러다 보니 주민번호 도용에 이어 타인의 통관번호를 도용해  해외직구 하거나 밀수 및 탈세를 하는 경우도 발생하고 있다. 정보를 털린 피해자들은 통관번호를 재발급 받고 있지만 피해 해소와 보상은 쉽지 않다.

중국 알리바바 계열사로 전 세계적으로 저가상품 판매로 선풍적인 인기를 누리고 있는 직구 플랫폼 알리익스프레스(AliExpress)의 경우는 이용하는 회원들의 개인정보 유출 위험이 크다는 지적도 나오고 있다. 그 이유는 회원을 가입하며 기록한 개인의 정보를 제3자인 판매자에게 이전할 수 있으며, 그 처리를 위탁업체까지 넘길 수 있다는 것이 문제가 되고 있다.

알리익스프레스의 개인정보방침에는 ‘회원의 사전 동의가 있는 경우에 한하여 제3자에게 개인정보를 제공할 수 있다’고 돼 있다. 제3자라 하면 중국 내에서 필요로 하는 모든 기업이 될 수도 있고 자국이 아닌 친중 국가인 타국에 개인정보를 넘길 소지도 충분하다.

중국에 넘어간 개인정보가 안전하지 못한 것은 중국 내부법령에 의해 정부에 제공하도록 돼 있기 때문이다. 중국 ‘네트워크 안전법’의 경우는 기업에서 수집된 개인정보는 중국 영토 내에서 저장해야 하며, 정부에서 언제라도 요구할 경우 저장된 정보를 제공하도록 규정돼 있다. 이는 정부에서 저장된 서버를 들여다 볼 수도 있는 것이다.

수집되는 정보는 기본적인 개인정보는 물론이고 기기정보, IP, SNS정보, 위치정보 등 까지 수집이 가능하기 때문에 중국 정보기관에서 감시해야할 특정인이라면 손쉽게 기본적인 감시와 정보수집이 가능하다고 본다.

이러한 취약점은 알리익스프레스 뿐만이 아니다. 중국산 장비를 구입해서 사용할 경우 등록된 개인정보도 중국 정부로 넘어갈 수도 있다. 전체적인 행태정보를 축적해 인공지능(AI)을 이용한 맞춤형 광고와 미래의 돈벌이에 활용할 수도 있다.

미국에서는 중국산 첨단장비에서 스파이칩이 발견돼 문제가 된바 있으며, 안보를 위협한다며 틱톡과 화웨이 사용을 규제하고 있다. 우리나라도 중국산 기상장비에서 악성코드가 발견된 바 있다. 이렇듯 중국에서는 전 세계 모든 정보를 수집하며 데이터화하려는 의도가 분명하다.  

정부는 우리국민의 개인정보 유출 취약점을 선제적으로 진단하고 대응방안을 마련해야 한다. 개인정보 유출이 우려되더라도 구매를 한다면 실물카드나 계좌로 결제하기보다는 안전하게 해외 온라인 상품구매를 할 수 있는 가상카드번호를 발급받아 결제하도록 하는 등 스스로도 개인정보 보호에 노력해야 한다.
  
류원호 국민대-세종대 겸임교수, 한국항공우주정책·법학회 이사