지난해 10월 알리익스프레스 셀러 계정 해킹 당해 정산금 86억 원 탈취
당국에 '경찰 신고했다' 허위 보고 확인… 실제 수사 의뢰는 안 해
업계 "국내 기업엔 현미경 규제, 해외 빅테크엔 솜방망이… 역차별 심각"
중국계 이커머스 플랫폼 알리익스프레스(이하 알리)에서 해킹으로 인해 86억 원 규모의 정산금이 탈취당하는 대형 보안 사고가 발생한 사실이 뒤늦게 드러났다.
특히 알리 측이 정부 기관에 사고 대응 현황을 허위로 보고했음에도 불구하고, 정부와 정치권이 별다른 제재 움직임을 보이지 않아 '국내 기업 역차별' 논란이 거세지고 있다.
19일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원실이 확보한 자료에 따르면, 알리는 지난해 10월 내부 시스템이 해킹당해 입점 판매자(셀러) 83명의 계좌 정보가 무단 변경되는 사고를 겪었다.
이로 인해 지급되어야 할 정산금 약 600만 달러(한화 약 86억 원)가 해커의 손에 넘어갔다.
문제는 사고의 규모뿐만 아니라 알리 측의 사후 대응과 정부의 태도다. 알리는 한국인터넷진흥원(KISA)에 제출한 침해사고 신고서 내 '경찰 신고 여부' 항목에 '예'라고 표시했으나, 실제로는 수사기관에 신고하지 않은 것으로 확인됐다. "경찰 신고가 의무 사항이 아니라서 하지 않았다"는 것이 알리 측의 해명이지만, 결과적으로 정부 기관의 조사를 지연시키고 허위 정보를 제출한 셈이다.
IT 업계와 소비자단체에서는 이번 사안을 두고 "정부와 정치권의 반응이 지나치게 미온적"이라는 비판을 쏟아내고 있다. 비슷한 규모의 플랫폼 사고가 국내 기업에서 발생했을 때와는 온도 차가 극명하다는 것이다.
실제로 쿠팡, 카카오, 네이버 등 국내 주요 플랫폼 기업들은 서비스 장애나 개인정보 이슈가 발생할 때마다 국회 국정감사에 최고경영진이 줄줄이 소환되거나, 관계 부처의 강도 높은 현장 조사와 과징금 처분을 받아왔다.
특히 쿠팡의 경우 물류센터 안전 문제나 아이템 위너 시스템 등 알고리즘 이슈만으로도 정치권의 집중 포화를 맞은 바 있다.
익명을 요구한 이커머스 업계 관계자는 "만약 쿠팡이나 지마켓에서 86억 원이 해킹당하고, 정부 기관에 거짓 보고를 했다면 당장 검경 수사가 시작되고 국회 상임위가 소집됐을 것"이라며 "중국 자본인 알리에게는 사실상 치외법권 수준의 관대함이 적용되고 있다. 이것이 역차별이 아니면 무엇인가"라고 성토했다.
보안 전문가들 역시 이번 사고의 심각성을 경고하고 있다. 김도승 개인정보보호법학회장(전북대 교수)은 한 언론과의 인터뷰에서 "계좌번호를 변경할 정도면 단순 침입이 아니라 데이터베이스(DB) 자체를 건드린 고도화된 해킹"이라며 "일반 고객의 개인정보가 안전하다는 알리 측의 주장을 액면 그대로 믿기 어렵다"고 지적했다.
그럼에도 불구하고 규제 당국인 방송통신위원회나 개인정보보호위원회, 그리고 정치권은 눈에 띄는 움직임을 보이지 않고 있다.
알리 측이 "피해 금액을 전액 보전해 금전적 피해는 없다"고 주장하자 이를 수용하는 분위기다. 국내 기업들에게는 정보보호관리체계(ISMS) 인증 등 철통같은 보안 규제를 요구하면서, 정작 보안 구멍이 뚫린 해외 기업에는 관대한 '기울어진 운동장'이 방치되고 있다는 지적이다.
이해민 의원은 "86억 원이라는 막대한 피해가 발생했고 허위 보고까지 이루어졌음에도 경찰 신고조차 하지 않은 것은 알리가 국내 법과 제도를 얼마나 가볍게 여기는지 보여주는 사례"라며 "관련 부처는 알리가 ISMS 인증을 받게 하는 등 국내 기업과 동등한 수준의 관리 감독을 수행해야 한다"고 강조했다.
'C커머스(중국 이커머스)의 공습'을 우려하던 목소리는 높았지만, 정작 소비자 보호와 보안 주권이 침해된 구체적 사건 앞에서는 침묵하는 정부와 정치권. 국내 기업 잡는 데만 골몰하던 '호랑이'들이 해외 빅테크 앞에서는 '순한 양'이 되고 있다는 비판을 피하기 어려워 보인다.
