기사 링크 : https://news.mt.co.kr/mtview.php?no=2021052614034956335&type=2&sec=tech&pDepth2=Ttotal
2020년 9월, 소비자 A 씨는 TV를 구매하려던 중 쿠팡에서 121만 원짜리 한정 판매 특가 상품을 발견하였다. 상품 세부 내용에는 카카오톡으로 별도 재고 문의를 해달라고 적혀있어 A 씨는 별다른 의심 없이 요구하는 대로 카카오톡으로 문의를 했다. 판매자의 계정을 도용한 사기 판매자 B 씨는 A 씨에게 “쿠팡 판매는 종료됐고, 사고 싶으면 다른 오픈마켓에서 현금으로만 살 수 있다”라며 계좌이체 사이트를 보내왔다. A 씨는 해당 사이트를 통해 돈을 입금한 직후 사기임을 깨닫고 추가 피해를 막기 위해 이 사실을 쿠팡 측에 알렸지만, A 씨가 들은 답변은 ‘담당 부서가 없다.’, ‘휴일 지나 처리하겠다’라는 말뿐이었다. 결국 이틀 뒤인 월요일 낮에 사기 판매글은 삭제되었으나 그 사이 추가 피해는 계속 일어났고, 사기꾼에게 계정이 도용된 정상 판매자 C 씨는 아무것도 모른 채 주말 내내 문의와 항의 전화에 시달려야 했다.
사기꾼이 현금 결제를 유도를 위해 쿠팡에 올린 글(출처 : https://nocutnews.co.kr/news/5406002)
온라인 쇼핑 시장의 폭발적 성장과 함께 범죄 행위 또한 그 종류가 다양해지고, 빈도 또한 높아지고 있다. 통계청은 올해 4월 온라인 쇼핑 거래액이 총 15조 904억 원으로 전년 동월 대비 25.2% 증가했다고 밝혔는데, 전자상거래 분쟁조정위원회(한국 인터넷진흥원) 접수 분쟁 건수는 전년 동기 대비 752.5%나 증가했다. 2020년 한 해 동안 분쟁 건수가 906건이었는데 2021년 1월~4월까지 1347건의 분쟁 조정건이 접수돼 넉 달 만에 작년 건수를 훌쩍 넘긴 것이다.
대표적인 범죄가 위 사례와 같은 판매자 계정 도용 사기 사건이다.
아래의 오픈마켓 판매자 계정 도용 사기 사건 흐름도를 보면, 사기 판매자가 정상 판매자 계정을 도용하여 판매자 시스템에 접속해 DB에 허위 상품을 등록하는 방식으로 범죄가 일어난 것을 확인할 수 있다. 판매자의 계정은 구매자의 개인정보를 다루고 있기 때문에 일반 소비자 개정 보다도 더욱 강화된 계정 보호조치가 이루어지도록 법적으로 강제하고 있다. 그런데 계정을 관리하는 오픈마켓 측에서 이를 제대로 이행하지 않은 것이다.
(출처 : 개인정보보호위원회)
개인정보보호위원회는 판매자 계정 도용 피해 사례가 증가하자 2020년 9월, 쿠팡을 대상으로 조사에 착수했으며 2021년 1월, 일 평균 방문자 수 1만 명 이상인 11개의 오픈마켓을 대상으로 조사를 확대했다. 조사 결과, 11개의 오픈마켓 중 총 9개의 오픈마켓(쿠팡, 네이버, 11번가, G마켓, 옥션, G9, 인터파크, 티몬, 롯데쇼핑)이 ‘개인정보의 기술적・관리적 보호조치’ 의무를 지키지 않은 것으로 확인되었다. 개인정보보호위원회는 이들 오픈마켓에 시정 명령 및 과태료 총 5,220만 원을 부과하였다.
정보통신서비스 제공자의 개인정보 보호조치 의무
온라인 서비스를 제공하는 오픈마켓은 정보통신서비스 제공자이며, 오픈마켓 내 판매자는 소비자의 개인정보를 취급하는 개인정보취급자로서 개인정보보호법 제29조와 개인정보보호법 시행령 제48조의 2 등 개인정보의 기술적・관리적 보호조치 기준을 지켜야 한다.
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
개인정보보호법 제29조 (안전조치의무)
해당 법령에 근거한 ‘개인정보의 기술적・관리적 보호조치 기준’은 정보통신서비스 제공자 등이 이용자의 개인정보를 처리할 때 반드시 준수해야 하는 최소한의 기준을 말하며, 세부 내용으로는 ‘내부관리계획의 수립・시행’, ‘접근통제’, ‘접속기록의 위・변조 방지’, ‘개인정보의 암호화’ 등이 있다.
개인정보보호위원회는 판매자 계정 도용 사기 사건으로 시작된 이번 조사에서 정보통신서비스 제공자인 오픈마켓이 지켜야 할 보호조치 중 ‘접근통제’의 ‘안전한 인증수단’을 적용하지 않았다고 밝혔다. 구체적으로, 개인정보의 기술적 ・ 관리적 보호조치 기준에 관한 해설서(개인정보보호위원회, 2020.12)에서는 일반 사용자의 로그인 절차는 아이디와 패스워드만으로 설정하는 것이 가능하지만, 오픈마켓 내 판매자 계정의 경우에는 기본적인 아이디, 패스워드와 별개로 안전한 인증 수단을 통해 추가적으로 본인을 확인하는 절차를 진행할 것을 의무사항으로 명시하고 있다.
안전한 인증 수단의 적용이란, 개인정보처리 시스템에 사용자 계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별, 인증하는 절차 이외에 인증서, 보안토큰, 일회용 비밀번호(OTP) 등 추가적인 인증 수단의 적용을 말한다.
개인정보의 기술적・관리적 보호조치 기준 해설서 ‘제4조. 접근통제’
이러한 접근통제 외에도 정보통신서비스 제공자인 오픈마켓 사업자는 개인정보취급자인 판매자가 안전한 비밀번호를 설정하여 이행할 수 있도록, 추측하거나 접속을 시도하기 어려운 문자, 숫자 등을 조합하는 비밀번호 작성규칙을 수립하고 이를 개인정보처리 시스템 등에 적용해야 한다.
위 쿠팡의 사례에서 볼 수 있듯이, 오픈마켓 사업자의 개인정보 관련 안이한 대처에 대한 피해는 오롯이 소비자의 몫이다. 그럼에도 불구하고 국내 11개 대형 사업자 중 9개 기업이 관련 의무를 다하지 않아 시정조치 및 과태료를 받은 사실은 가벼이 볼 일이 아니다. 위 사건의 경우에도 판매자의 계정 보호가 제대로 되었다면 계정 도용 사기 사건을 예방할 수 있었다는 점을 생각하면, 앞으로도 대형 사업자들의 각별한 주의가 필요할 것이다.