통신사 고객 정보 해킹 사태로 보안에 대한 우려가 큰 가운데 테무, 디올, 아디다스 등 글로벌 유통업체에서도 개인정보 유출 사례가 이어지면서 소비자들의 불안이 커지고 있다. 국내에서 활발히 사업을 펼치며 막대한 매출을 올리는 해외 기업들이 정작 고객 정보 보호에는 소홀하다는 비판이 제기된다. 개인정보 유출이 한국 소비자 피해로 이어질 수 있는 만큼 글로벌 기업들에 대한 보안 실태 점검이 필요하다는 목소리가 커지고 있다.
20일 업계에 따르면 중국계 이커머스 업체 테무는 고객 개인정보를 중국·싱가포르 등 해외 사업자에게 위탁하면서도 이를 고지하지 않은 것으로 드러났다. 또 국내 판매자들의 신분증과 얼굴 동영상을 수집하면서, 신분증에 포함된 주민등록번호를 법적 근거 없이 처리한 사실도 확인됐다.
이에 개인정보위원회는 지난 14일 테무 운영사에 과징금 13억6900만원과 과태료 1760만원 부과하고 시정명령 및 개선권고를 의결했다. 테무는 개인정보위 조사가 시작된 이후에야 개인정보 처리 방침을 수정했고, 한국 판매자에 대한 신원 확인 정보 수집도 중단하겠다고 밝혔다.
앞서 지난해 7월에도 알리익스프레스가 유사한 개인정보보호법 위반으로 과징금 19억7800만원을 부과받은 바 있다. 당시에도 국외 이전 고지 누락, 동의 절차 미비 등이 문제로 지적됐다.
루이비통모에헤네시(LVMH)의 브랜드 디올에서도 고객 정보 유출 사태가 발생했다. 크리스챤 디올 꾸뛰르 코리아는 지난 13일 자사 홈페이지를 통해 고객 개인정보 유출 사실을 공지했다. 디올은 “외부의 권한 없는 제3자가 디올 패션&액세서리 고객들의 일부 데이터에 접근한 사실을 발견했다”며 성명, 휴대폰 번호, 이메일, 구매 내역 등 일부 비금융 정보가 유출됐다고 밝혔다.
그러나 디올이 침해 사실을 인지한 7일로부터 6일이나 지난 뒤에야 이를 공지하면서 소비자들의 불만을 키웠다. 게다가 과학기술정보통신부나 한국인터넷진흥원(KISA)에 즉각 신고하지 않은 정황도 드러나 정보통신망법상 ‘지체 없는 신고’ 의무 위반 논란이 불거졌다.
스포츠 브랜드 아디다스 홈페이지도 해킹 표적이 됐다. 아디다스코리아는 지난 16일 홈페이지를 통해 “최근 고객과 관련된 일부 데이터가 권한 없는 제3자에게 유출됐음을 인지했다”고 공지했다. 유출 대상은 지난해까지 고객센터를 이용한 고객들로, 이름, 이메일, 전화번호, 생년월일, 성별 등이 포함됐을 가능성이 있다고 설명했다. 다만 비밀번호나 신용카드 등 결제 관련 정보는 유출되지 않았다고 밝혔다.
정보보호 전문가들은 글로벌 기업들이 한국 시장을 매출처로만 여기고, 보안 투자와 책임은 소홀히 해 개인정보 유출 사고가 반복되고 있다고 지적한다. 특히 국내 지사가 마케팅과 고객 대응 위주로 운영되다 보니, 개인정보 처리와 보안 대응이 본사나 제3국에서 이뤄져 책임 주체가 불분명하고, 사고 발생 시 즉각적인 대응이 어렵다는 점도 문제로 꼽힌다.
장항배 중앙대 보안대학원장은 “글로벌 기업의 한국 지사의 경우 한정된 자원을 판매와 마케팅에 집중 투입하다 보니 보안에 대한 투자가 미비하고 인식 자체도 부족한 경우가 많다”며 “관계기관에서 국내 사업자에 준하는 보안 규정 준수와 담당자 교육, 보안체계 유지 등의 내용이 담긴 가이드라인을 마련하고 실질적인 점검에 나설 필요가 있다”고 말했다.
김성훈 기자 hunhun@kmib.co.kr