개인정보 유출 여진…쿠팡 계정, 중국 플랫폼서 거래 확산

대규모 개인정보 유출 사고를 겪은 쿠팡의 한국 계정이 중국 온라인 플랫폼에서 조직적으로 거래되는 정황이 포착되며, 유출된 데이터의 2차 악용 가능성이 IT 보안 업계의 최대 뇌관으로 떠오르고 있다. 중국 이커머스와 중고거래 플랫폼에서 계정을 묶음으로 판매하는 구조가 확인되면서, 국내 전자상거래망과 결제 인프라를 겨냥한 계정 기반 범죄 위험이 커졌다는 분석이 나온다. 업계에서는 계정 매매 시장이 확산될 경우, 단일 기업의 침해 사고를 넘어 전자상거래 전반의 신뢰 체계가 흔들리는 전환점이 될 수 있다는 평가도 제기된다.  

정치권과 정보보안 업계에 따르면 3일 기준 중국의 대형 온라인 쇼핑 플랫폼 타오바오에서는 판매자들이 한국 쿠팡 계정을 상시 판매하는 것으로 파악됐다. 판매자들은 계정 유형과 발급 속도에 따라 가격을 세분화해 제시하고 있으며, 일정 기간 문제 발생 시 계정 교환까지 보장하는 식으로 서비스화된 양상을 보이고 있다. 국내에서는 3000만명 이상의 개인정보가 노출된 것으로 추정되는 상황이라, 실제 유통 중인 계정이 최근 유출 데이터와 연결돼 있는지 여부에 대한 우려가 커지는 모습이다.  

거래 구조를 보면 계정은 사실상 디지털 상품처럼 취급된다. 타오바오 일부 판매자는 320위안, 원화 약 6만원 수준의 비용을 지불하면 3일 이내에 쿠팡 한국 계정을 제공한다고 홍보하고 있다. 추가 금액을 지불할 경우 발급 속도는 더 빨라진다. 약 8만원을 지불하면 24시간에서 48시간 안에 계정을 발급하고, 10만원 수준의 금액을 보내면 즉시 계정이 제공된다고 안내하는 식이다. 계정 발급 속도가 빨라질수록 고가에 책정된 가격 구조는, 계정 생성이나 탈취에 일종의 자동화된 작업이 결합돼 있을 가능성도 시사한다는 지적이 나온다.  

소비자 입장에서 주목되는 지점은 판매자들이 내거는 이른바 품질 보증 조건이다. 일부 판매자는 계정 사용 중 한 달 안에 로그인 제한 등 문제가 생길 경우 다른 계정으로 교환해주겠다고 명시하고 있는 것으로 알려졌다. 보안 전문가들은 이런 방식이 계정 탈취나 생성 시스템을 대량으로 운영하는 조직이 존재한다는 징후로 해석한다. 계정을 충분히 확보해 두고 문제가 생기면 즉시 다른 계정으로 교체해 주는 구조는, 다크웹과 해외 중고 플랫폼을 결합한 계정 유통 시장이 이미 성숙 단계에 접어들었음을 의미할 수 있다는 분석이다.  

중국판 당근마켓으로 불리는 중고거래 플랫폼 시엔위에서도 유사한 거래가 등장한 정황이 정치권을 통해 전해졌다. 시엔위에서는 계정의 사용 제약 여부에 따라 가격이 더 세밀하게 나뉜 것으로 알려진다. 한 판매자는 상품 구매에 제한이 걸려 있는 계정을 약 5000원에, 일반적인 사용이 가능한 계정을 약 5만원에 판매하고 있다고 설명한 것으로 전해졌다. 계정 상태에 따른 가격 차등은 계정이 단순 신규 생성인지, 실제 한국 이용자의 거래 이력이 포함된 계정인지에 따라 가치가 나뉘고 있음을 시사한다.  

문제는 이들 계정이 최근 한국에서 발생한 대규모 개인정보 유출 사건과 직접 연결되는지 여부다. 일부 구매자들은 판매자에게 계정 출처를 문의했지만, 돌아온 답변은 계정 상태가 양호한지 여부를 강조하는 수준에 그친 것으로 알려졌다. 한 판매자는 최근 유출 사고와 관련성이 있는지 질문을 받자 문제없는 깨끗한 계정이라는 답만 반복했으며, 계정 확보 경로나 생성 방식, 데이터 출처에 대해서는 일절 밝히지 않았다. 이 때문에 현재 유통되는 계정이 이번 정보 유출 사고와 연동됐는지, 별도의 피싱·크리덴셜 스터핑 같은 공격으로 확보된 것인지 명확한 사실 확인은 이뤄지지 않은 상태다.  

전문가들은 계정 매매가 실제 유출 사고와 직접 연관되지 않는다 해도, 구조적으로는 동일한 리스크를 낳는다고 지적한다. 유출된 이메일과 비밀번호 조합을 다른 서비스에 무작위 대입하는 크리덴셜 스터핑은 이미 글로벌 전자상거래 업계에서 반복되는 공격 방식이다. 여기에 해외 플랫폼을 통한 계정 거래가 결합되면, 국내 기업이 파악하기 어려운 경로로 불법 계정이 재활용될 여지가 커진다. 특히 간편결제 기능이 연동된 계정의 경우, 직접적인 금전 피해로 이어질 수 있어 보안 강도와 이상 거래 탐지 시스템 고도화가 요구된다.  

정책 측면에서도 이번 정황은 해외 플랫폼과의 공조를 어떻게 구현할 것인지에 대한 숙제를 던진다. 쿠팡 계정이 중국 전자상거래 플랫폼에서 판매되고 있다는 정보는 국내 당국이 직접 규제하기 어려운 영역에 해당한다. 우리나라 개인정보보호법과 정보통신망법은 국내 사업자를 중심으로 적용되고 있어, 해외 사이트에서 한국 계정을 거래하는 행위에 대해 직접적인 집행력을 갖기 어렵다. 그 결과, 실제 계정 유통 경로 차단을 위해서는 수사기관과 해외 플랫폼 간 공조, 국제 공조 채널을 활용한 계정 판매자 추적 등 복합적인 대응 전략이 요구된다는 지적이다.  

쿠팡 경영진도 국회 질의 과정에서 이번 계정 판매 논란과 정보 유출 사고 간의 직접적인 연관성은 선을 긋는 분위기다. 지난 2일 국회 과학기술정보방송통신위원회 현안질의에서 박대준 쿠팡 대표는 타오바오 등 중국 이커머스 사이트에서 쿠팡 계정이 판매된다는 지적에 대해 이번 정보망 침해 방식은 쿠팡 계정이나 로그인 정보를 이용한 형태가 아니라고 설명했다. 다만 계정 유통 정황 자체가 확인된 만큼, 플랫폼 보안 체계를 포함해 로그인 보호, 이중 인증, 이상 로그인 탐지 등 전자상거래 업계 공통 과제로서 계정 보호 전략을 재점검해야 한다는 데에는 업계 전반의 공감대가 형성되고 있다.  

IT 보안 업계와 전자상거래 업계는 이번 사안을 계정 중심 보안 패러다임 전환의 신호로 보고 있다. 기업이 개별 침해 사고의 인과관계만 설명하는 수준을 넘어, 계정 기반 범죄 생태계 전체를 겨냥한 선제적 보안·규제 체계가 필요하다는 지적도 계속 나온다. 산업계는 중국 플랫폼을 발판으로 확대되는 계정 매매 시장이 실제 결제 정보 탈취와 사기 피해로 이어질지, 그리고 국내 전자상거래 신뢰도에 어떤 영향을 미칠지 촉각을 곤두세우고 있다.