[시사오늘·시사ON·시사온=안지예 기자]

최근 온라인몰을 중심으로 계정 정보 도용 등 사고가 연이어 발생하면서 소비자 피해가 커지고 있다. 소비자들 사이에선 업체들의 재발 방지 대책 마련이 미흡하다는 비판이 계속 나오고 있다. 또한 개인정보 유출 사태가 반복되는 건 처벌과 피해 보상 수위가 낮기 때문이라는 지적도 제기된다.

G마켓·인터파크 등 피해 속출

---

26일 업계에 따르면 최근 G마켓에서는 구입·충전한 미사용 상품권이 사용한 것으로 처리되는 상품권 도용 사건이 터졌다. 이 같은 사실은 각종 온라인 커뮤니티에 “G마켓에서 구매·충전한 미사용 상품권이 사용 완료됐다”는 글들이 게시되면서 급속도로 퍼졌다.

G마켓은 소비자 피해 사실을 인지하고 현재 관련 기관과 함께 사건 대응에 나선 상황이다. 회사 측은 공식 입장문을 통해 “최근 당사에서 외부에서 도용된 ID와 PW를 통해 일부 고객께서 구입한 전자 문화상품권 등을 사용하는 사례가 발생했다”면서 “이에 당사는 사건 인지 즉시 ID, PW 변경 요청과 본인인증 절차 강화 등을 통해 추가 피해를 막기 위한 조치와 함께 사이버수사대 등 관련 기관과 협조 중”이라고 밝혔다.

이와 함께 문화상품권의 PIN 번호가 홈페이지에 보여지는 문제도 인식, 전자 문화상품권 구매 시 본인인증 절차 강화 등의 기술적 개선안을 마련하겠다는 방침도 제시했다. G마켓 측은 “향후 사고 조사가 완료되는 대로 적극적인 피해 보상을 실시할 예정”이라면서 “어떠한 경우에도 고객님의 개인정보와 자산이 보호받을 수 있도록 최선을 다하겠다”고 강조했다.

인터파크에선 개인정보 유출 의심 정황이 발견된 것으로 전해진다. 지난 10일 인터파크는 홈페이지를 통해 “신원 불상의 자로부터 사전 수집된 것으로 추정되는 계정정보(아이디, 비밀번호)를 이용한 로그인 시도가 발생했다”고 밝혔다. 이번 공격으로 일부 회원의 이메일, 성별, 생년월일, 전화번호, 주소, 회원등급 등이 유출됐을 가능성이 있는 것으로 알려졌다. 인터파크는 개인정보보호위원회와 한국인터넷진흥원 등 관계 기관에 신고해 조사에 최대한 협조하기로 했다.

인터파크 측은 “고객들께 심려를 끼쳐 드린 점 진심으로 사과 드린다”며 “고객의 계정에 대한 새로운 로그인 시도가 있을 경우 알림 메일을 통해 안내하고 있고, 유출(의심)으로 인한 추가 피해가 발생하지 않도록 관계기관과 긴밀하게 협조하고 있다”고 했다.

“솜방망이 처벌 문제” 비판 목소리

---

소비자단체와 이용자들 사이에선 솜방망이 처벌이 개인정보 사고를 야기하고 있다는 지적이 계속되고 있다.

방송통신위원회에 따르면 2012년 8월부터 2019년 8월까지 7년간 정보통신서비스 사업자로부터 유출된 개인정보가 7428만 건에 달했지만 과태료는 건당 평균 131원에 불과한 것으로 나타났다.

실제로 인터파크는 2016년에도 1030만 명의 개인정보를 유출해 약 44억 원의 과징금을 부과받은 바 있다. 회사 측은 이를 취소해달라며 행정소송을 냈지만 대법원에서 최종 패소했다. 피해를 입은 회원 2400여명에게는 1인당 손해배상금 10만 원이 돌아가는 데에 그쳤다.

온라인 명품 플랫폼 발란도 지난해 해킹으로 고객 개인정보가 유출됐다. 유출된 정보는 약 162만 건의 고객 이름, 주소, 휴대전화번호 등으로 알려졌다. 발란에는 총 5억1259만 원의 과징금과 1440만 원의 과태료가 부과됐다. 

온라인쇼핑몰 W컨셉코리아는 선물 수신자에게 카카오톡 알림을 보내면서 선물함 링크를 잘못 발송해 개인정보 2583건을 유출시켰다. 이 업체는 사고를 인지한 뒤 24시간 넘게 지나 유출 통지와 신고를 한 것으로 전해진다. 지난해 개인정보보호위원회는 W컨셉코리아에 과징금 3억6497만 원과 과태료 3600만 원을 부과하기로 했다.

SCK컴퍼니(옛 스타벅스커피코리아)도 고객 개인정보를 유출해 최근 과태료 1000만 원을 부과받았다. 홈페이지 시스템 개편 과정에서 휴면 계정 해제 시 아이디와 해당 아이디에 대한 비밀번호를 확인하는 검증 값을 누락해 4명의 개인정보가 유출된 것으로 전해진다.

소비자 단체에서는 집단소송제 도입과 손해액의 최대 3배까지로 규정돼 있는 징벌적 손해배상제를 강화해야 한다고 주장하고 있다. 소비자주권시민회의는 “통신사, 은행·카드사·보험사·대형마트·SNS·공공기관에 이르기까지 전방위적인 개인정보유출 사태가 끊임없이 발생하고 있다”면서 “정부와 국회는 소비자들에게 직접적인 피해구제가 이뤄지고, 사업자들에게는 불법·부당행위에 대한 대규모 피해배상으로 기업이 존폐위기에 처할 수 있다는 경각심을 일깨워줘야 한다”고 강조했다.

아울러 한국소비자단체협의회에서는 이번 G마켓 계정 도용 사고와 관련해 성명서를 발표했다. 협의회는 “이번 피해사례는 G마켓 계정과 비밀번호가 유출됐더라도 상품권 핀번호 열람페이지는 별도의 보안체계를 갖춰야 함에도 불구하고, 전자금융업자로서 소비자보호 의무를 이행하지 않아서 발생한 문제”라며 “사이버수사대와 개인정보보호위원회 등에서는 해당 사건과 관련해 철저한 수사를 진행하고 위법사항 발견 시 사업자에 대한 엄정한 규제와 재발 방지 대책을 마련해달라”고 촉구했다.

도용 방지하려면…이용자 주의 필요

---

개인정보 유출 사고가 뚜렷한 해결책 없이 여러 해 동안 반복되면서 그 피해는 소비자에게 고스란히 돌아가고 있는 실정이다. 

이에 개인정보보호위원회는 계정정보 도용으로 인한 2차 피해 등을 방지하기 위해 쇼핑몰 이용자에게 주의를 당부했다. 우선 하나의 계정과 비밀번호로 여러 웹사이트를 이용하는 경우 비밀번호를 바꾸고 웹사이트별로 다른 비밀번호를 사용하는 게 좋다.

최근 G마켓 등에서 발생한 피해 사례는 크리덴셜 스터핑(Credential Stuffing) 공격으로 인한 것으로 추정된다. 이는 해커가 이미 유출되거나 사전에 탈취한 사용자 계정과 비밀번호를 다른 웹사이트에 무작위로 대입해서 로그인에 성공하면 해당 사용자 정보를 빼가는 공격 수법이다. 온라인 쇼핑몰 등 인터넷 이용자 중에는 여러 웹사이트에서 동일한 계정과 비밀번호를 사용하는 사람이 많은데, 한 곳에서 계정과 비밀번호가 탈취되면 여러 웹사이트에서 계정을 도용한 개인정보 유출, 금전 피해를 볼 수 있다.

개인정보위는 비밀번호 이외에 휴대폰 문자인증, 이메일 인증, 전화인증, 생체인증 등 2차 인증이 가능한 웹사이트나 앱은 2차 인증을 필수로 설정해 보안을 강화하라고도 강조했다. 또 오랜 기간 방문하지 않았거나 접속이 필요 없는 웹사이트는 e프라이버시 클린서비스를 통해 회원 탈퇴를 하는 게 좋다고 조언했다.