"알리랑 테무에서 직접구매를 한 뒤에 스팸메일이 엄청 들어옵니다. 이거 혹시 개인정보 유출 문제인가요?"

한 포털사이트에 올라온 글이다.

25일 유통업계에 따르면 알리익스프레스(이하 알리), 테무 등 중국 이커머스 플랫폼 업체들이 초저가 등 가격 경쟁력을 앞세워 국내 시장에 빠르게 잠식하고 있는 가운데 국내 사용자들의 개인정보 유출이 우려되고 있다.

알리와 테무의 이용자는 1399만명으로 국내 이커머스 기업인 11번가와 G마켓을 제치고 각각 2위와 4위로 급부상했다.

이런 가운데 국내 사용자들의 개인정보 유출을 우려하는 이유는 중국의 국가정보법 등에 따라 자국 플랫폼이 가진 회원들의 개인정보를 언제든지 수집할 수 있기 때문이다. 이런 우려가 실제로 나타날 경우, 개인 정보 유출보다 국가 차원의 사이버 보안 위협으로 번질 수 있다는 지적까지 나오고 있다.

그간 알리와 테무는 가품과 불량제품 논란으로 소비자 피해가 빈번히 발생했지만 한국 정부가 시기적으로 대응을 하지 못하면서 회복이 불가능한 상태라는 게 업계 중론이다.

한 업계 전문가는 "그간 알리와 테무를 두고 다양한 논란이 발생했지만 정부가 이를 방관하는 사이에 사실상 무혈입성한 셈"이라며 "정부가 범정부 태스크포스(TF) 구성에 나섰지만, 이미 시기적으로 늦어 문제가 확산되고 있으며 회복이 불가능한 상태에 이르게 됐다. 실효성 있는 대책이 나올지도 의문"이라고 지적했다.

그러면서 특히 정부가 소비자 보호를 위한 시스템으로 개인정보 보호 사각지대를 해소해야 한다고 강조했다.

이런 여론에 부응해 정부도 알리와 테무를 대상으로 개인정보 수집 처리에 대한 조사를 실시하고 나섰다. 정부는 지난 20일 개인정보위원회 등을 통해 알리익스프레스, 테무 등 중국 온라인 커머스 플랫폼에 가입한 고객의 개인정보가 국내법에 따라 보호되고 있는지에 대한 조사를 시작했다.

구체적인 조사결과는 아직 발표되지 않았다. 하지만 개인정보위가 이들 기업들이 개인정보를 국외에 제공할 수 있는 근거가 있는지 조사하고 있는 것으로 알려졌다. 개인정보보호법 제28조의 8에 따르면 개인정보처리자는 개인정보를 국외로 제공·위탁·이전할 수 없다.

다만 정보주체로부터 별도의 동의를 받거나 정보주체 권리보장에 필요한 조치를 취하는 경우 등에는 이를 허용하고 있다. 개인정보위는 이들 기업들이 해당 조치를 적절히 취했는지 파악 중이다.

이번 조사는 지난해 10월 국정감사 당시 알리와 테무를 통해 국내 소비자들의 개인정보가 중국으로 유출될 수 있다는 우려에서 실시됐다.

또한 제3자 등 기업 외부에 개인정보를 고객의 동의를 받아 이전할 경우 국내 개인정보가 어떻게 관리되고 있는지 파악이 불가능하다는 점도 언급됐다.

정부뿐 아니라 소비자 시민운동을 전개하는 소비자주권 시민회의도 알리와 테무의 상품 판매와 관련된 개인정보 유출 관련한 조사결과를 발표했다.

소비자주권시민회의는 알리와 테무의 ▲유통금지 의약품 및 무기류 판매 행위 ▲유해상품 판매(인증 절차 허술) ▲계약불이행 ▲계약해제 ▲품질불만 등 대표적인 소비자 문제를 통한 개인정보보호법을 위반하고 있다고 밝혔다. 대표적으로 알리익스프레스의 알수 없는 개인정보보호와 관련없는 문구를 제시했다.

소비자주권시민회의 관계자는 '이용자들의 프라이버시 보호를 위해 개인정보는 안전하게 관리됩니다'라고 표기한 내용을 놓고 "앞서 문구와는 전혀 다른 지적재산권 신고와 각 상품의 카테고리별 상품광고, 알리바바 그룹의 홍보를 하고 있어 이용자들의 개인 정보를 어떻게 수집해 활용하고 보호하는지 알 수 없다"고 지적했다.

이 외에도 개인정보를 보호하는 것처럼 이용자들을 오인토록 표시하는 문구, 개인정보보호를 위한 것이 아닌 상품광고 및 알리바바 그룹 홍보 등을 추가 예시로 들었다.

테무의 경우 사용자가 제공하는 정보의 부당한 사용과, 제3자 출처로부터 얻은 정보의 자유로운 사용이 문제가 된다는 지적이다. 소비자주권시민회의는 테무가 제3자 출처로부터 얻은 정보를 자유롭게 활용한다는 주장이다.

테무도 개인정보보호 정책 약관에 '당사는 주문 이행을 위해 배송주소, 연락처 정보 등 주문 이행과 관련된 귀하의 개인정보를 자회사 및 제휴사와 공유할 수 있다'고 되어 있다. 그러나 테무의 모회사인 핀둬둬의 미국 자회사 웨일코를 제외하고는 개인정보 위탁 업체를 명확히 명시하지 않고 있다.

소비자주권시민회의 측은 "이용자가 제공한 정보를 테무가 제공목적 외에 자유롭게 임의적으로 다양하고 폭넓게 사용하고 있는 것으로 개인정보보호법 15조 위반이다. 당연히 이용자의 동의를 받아야 하는 부당한 개인정보 사용"이라고 지적했다.

지난해 10월 국정감사에서 강민국 의원은 "알리 홈페이지의 개인정보 처리 방침을 살핀 결과 '수집한 개인정보를 제3자인 판매자에게 이전하고, 그 처리를 위탁업체에 맡길 수 있다'는 내용을 고지하고 있다"며 "중국 기업 알리바바의 해외 직구 플랫폼 알리를 통해 쇼핑할 경우 구매자의 개인정보를 중국정부가 들여다 볼 수 있다"고 지적한 바 있다.

소비자주권은 "알리·테무 등 중국 플랫폼 업체는 개인정보 위탁업체에 대한 세부적인 내용을 약관 내 반드시 명시해야 한다"면서 "개인정보보호와 관련한 신뢰할 만한 매출 대비 예산 전문 인력의 배치, 유출 건수 등에 대하여 한국의 이용자들에게 명확하게 공개해야 한다"고 꼬집었다.

아울러 "우리 개인정보보호위원회가 개인정보보호법 상 개인정보 처리방침, 국외 이전, 사용자 제공 정보의 부당 사용 여부 등에 대해 철저하게 점검하고 위반사항이 확인될 경우 법적 조치를 취해 국내 소비자 피해가 없도록 해야 한다"고 강조했다.