[뉴스토마토 김현철 기자] 대규모 개인정보 유출이 잇따르는 가운데 한국인 계정이 중국어권 암시장에서 공공연히 거래되고 있는 것으로 확인됐습니다. 쿠팡 계정은 1개당 겨우 3500원에 팔리고 있었습니다. 국가와 성별을 지정하면 원하는 조건의 계정을 골라 살 수도 있었습니다. G마켓에서도 외부 유출 정보를 활용한 것으로 추정되는 무단결제 피해까지 발생했습니다.
타오바오에선 '쿠팡 계정 판매글'이 수시로 올라와
3일 <뉴스토마토> 취재에 따르면, 중국 최대의 전자상거래 플랫폼 타오바오에서는 '쿠팡 한국 계정'을 판매한다는 게시물이 상시적으로 올라왔다 내려갔다를 반복하고 있었습니다. 취재팀이 판매자에게 "계정 구입이 가능하냐"고 문의하면서 접촉하자, 판매자는 텔레그램 대화방 링크를 공유한 뒤 사라졌습니다. 수사기관 추적을 피하기 위해 거래 창구를 이원화한 것으로 보입니다.
판매자가 알려준 텔레그램으로 이동하자 본격적인 거래가 시작됐습니다. 해당 판매 조직은 별도의 웹사이트까지 운영하고 있었습니다. 취재팀이 "한국 쿠팡 계정을 구매할 수 있느냐"고 묻자 채 1분도 걸리지 않아 "가능하다"는 답변이 돌아왔습니다. 최대 구매 수량을 묻자 "수량 제한이 없다"라고까지 했습니다.
쿠팡 개인정보 유출 사태로 인해 해외로 넘어간 한국인 쿠팡 계정은 중국 전자상거래 플랫폼을 통해 공공연하게 거래되고 있다. 한국인 계정 판매자와 <뉴스토마토> 기자의 텔레그램 대화 내용. (사진=뉴스토마토)
텔레그램 이용해 계정 판매…계정 1개당 '3500원'
텔레그램을 이용한 판매 방식은 일반 인터넷 쇼핑몰에서의 거래와 다를 바 없었습니다. 상품 분류에서 플랫폼을 선택하고, 계정 유형과 국가, 성별을 지정한 뒤 수량을 입력하면 이메일로 계정 정보가 자동 발송되는 구조였습니다. 흥미로운 건 결제 방식이었습니다. 계좌 추적을 피하고자 암호화폐인 테더(USDT)로만 거래를 하자고 했습니다. 가격은 쿠팡 계정 1개당 2.59USDT(약 3500원), 카카오톡 기업 계정은 3.62USDT(약 4900원)였습니다.
거래되는 건 쿠팡의 것만이 아닙니다. G마켓, 카카오톡 등 국내 주요 플랫폼 계정도 같은 방식으로 판매되고 있었습니다. 카카오톡의 경우 현재 사용 중인 일반 계정과 기업 계정을 선택할 수 있었습니다. 목록에 없는 플랫폼은 '맞춤 주문'도 가능하다는 안내가 있었습니다. 구글, 인스타그램, 페이스북 등 글로벌 플랫폼 계정도 거래 품목에 포함돼 있었습니다.
"한국인 여성 정보만 골라 산다"…타깃팅의 공포
이런 맥락에서 가장 우려되는 건 바로 타깃팅 기능이었습니다. 구매 화면에는 국가 선택과 함께 성별도 고를 수 있었습니다. 성별은 '랜덤', '남', '여' 등 세 가지 중 하나를 정하는 겁니다. 예를 들면 국가로 '한국'을 선택하고 '여성'을 지정하면 한국인 여성 계정만 따로 구매할 수 있는 구조입니다.
취재팀이 "특정인의 계정을 지정해서 구매할 수 있느냐"고 묻자 판매자는 "계정은 랜덤 발송"이라고 답했습니다. 원하는 사람의 계정을 콕 집어 살 수는 없지만, 조건에 맞는 계정이라면 무제한으로 구매할 수 있다는 의미입니다.
이는 단순한 계정 탈취를 넘어 특정 집단을 노린 범죄에 악용될 수 있음을 의미합니다. 로맨스 스캠, 사칭 사기 등에 '한국인 여성'이라는 조건이 활용될 수 있습니다. 대량 유출된 한국인 개인정보가 범죄 맞춤형 상품으로 가공돼 거래되고 있는 셈입니다.
쿠팡 "이번 유출과 무관"…전문가 "해명 못 믿어"
쿠팡은 현재 중국 암시장에서 거래되는 계정이 이번 유출 사태와 무관하다는 입장입니다. 박대준 쿠팡 대표는 지난 2일 국회 과학기술정보방송통신위원회 현안질의 출석해 "이번 해킹은 회사 계정이나 시스템 로그인 정보를 사용한 게 아니다"라고 해명했습니다.
브랫 매티스 쿠팡 글로벌보안 총괄도 "다크웹에서는 이커머스 계정을 여러 방식으로 탈취하거나 위조 계정을 판매하는 경우가 있다"면서도 "이번 사건과는 무관해 보인다"고 말했습니다.
김장겸 국민의힘 의원이 "2차 피해 우려가 있는 것 아니냐"고 재차 묻자, 박 대표는 "가능성을 부정하는 건 아니다"라고 답했습니다.
이와 관련해 전홍규 법무법인 해량 변호사는 <뉴스토마토>와 통화에서 "한국인 계정이 공공연히 거래되고 있는 현재 상황에서 쿠팡의 해명을 믿기 어렵다"며 "다크웹 등 이전에 개인정보가 빠져나가고 있다는 사실을 알았다면 보안을 더 강화했어야 한다. 이번 해명은 매우 부적절하다"고 지적했습니다.
G마켓 60명 '무단결제' 사고…금감원 조사 착수
G마켓에서는 외부 유출 정보를 활용한 것으로 추정되는 무단결제 사고가 발생했습니다. G마켓과 금융감독원에 따르면, 회원 60여명의 계정이 도용돼 모바일 상품권이 무단 결제됐습니다. G마켓은 2일 금융감독원에 이 사실을 신고했으며 금감원은 조사에 착수했습니다. 현재까지 확인된 피해 금액은 1인당 3만~20만원 수준입니다.
주목되는 건 시점입니다. 쿠팡이 3370만명의 개인정보 유출 사실을 공지한 지난달 29일 직후부터 G마켓 고객센터에는 결제 취소 문의가 쏟아졌습니다. G마켓 측은 "내부 해킹 흔적은 없다"며 "외부에서 얻은 데이터로 계정 아이디와 비밀번호, 스마일페이 비밀번호 등을 도용한 사고로 추정된다"고 설명했습니다.
간편결제 시스템도 문제입니다. 로그인만 성공하면 기존 등록된 결제수단으로 바로 결제가 가능합니다. 스마일페이, 로켓페이 등으로 모바일 상품권 같은 환금성 상품을 즉시 구매할 수 있습니다. G마켓 사례가 쿠팡, 카카오 등 다른 플랫폼으로 확산될 수 있다는 우려가 나오는 이유입니다.
잇따른 개인정보 유출 사고로 인해 정부는 강경 대응으로 돌아섰습니다. 이재명 대통령은 2일 국무회의에서 "초연결 디지털사회에 맞는 패러다임 전환 수준의 제도"를 주문했습니다. 배경훈 부총리 겸 과학기술정보통신부 장관은 같은날 국회에서 "이달 말 발표할 2차 정보보호 종합대책에 징벌적 손해배상 도입을 검토하겠다"고 했습니다.
김현철 기자 scoop_press@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최병호 공동체부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지