[디지털데일리 이대호기자] 초등생이 엄마폰에 연동된 전세금 계좌로 1억원이 넘게 방송진행자(BJ)에게 선물(가상재화)을 줬다. 뒤늦게 사태를 파악한 가족들이 플랫폼 업체에 환불을 요청했다. 무브패스트가 서비스하는 소셜라이브 스트리밍 서비스 ‘하쿠나 라이브’ 얘기다.

무브패스트 측은 고객문의를 받은 후 사실관계 확인을 거쳐 가상재화의 캐시아웃을 곧바로 막았다. 그리고 BJ들에게 환불 동의를 받았다. BJ 1명을 제외하고 동의했다. 이 덕분에 상당 액수의 환불이 이뤄졌다. 무브패스트는 국내 업체가 일본에 세운 자회사다. 모회사는 ‘아자르’ 영상 메신저로 유명한 하이퍼커넥트다. 한국인에 의한 플랫폼이 어떻게 이용자 보호를 하는지 잘 보여준 사례다.

이 같은 상황에서 구글이었다면 어땠을까. “지원팀에 문의해 환불을 요청할 수 있다”는 게 답변이나 업계에선 “환불이 쉽지 않을 것”이라고 예상했다. 인터넷 상에서도 부모 카드로 유튜버를 후원했다가 환불받지 못했다는 사건·사고를 심심치 않게 접할 수 있다.

◆구글 환불 거부, 결국 국감서 지적 받아

21대 국회 국정감사에선 구글이 계정 해킹으로 결제된 내역에 대해 환불을 거부하거나 소극적으로 대처하고 있는 것으로 나타났다. 국회 자료 요청에도 협조하지 않고 지속적인 언론 보도에도 이용자 보호 조치 개선 의지를 보이지 않고 있다는 지적이 제기된다.

국회 과학기술정보방송통신위원회 더불어민주당 간사를 맡은 조승래 의원은 “구글 계정 해킹, 아이디 도용 등으로 구글에 환불 조치를 요청했지만 거절당했거나 한달여가 지나 환불받았다는 내용의 민원이 의원실로 다수 접수됐다”고 밝혔다.

피해자들이 자신이 사용하지 않은 결제 내역을 고객센터에 신고했으나 구글 측에서 본인이 사용하지 않았다는 증거를 찾기 어렵다는 이유로 환불을 거부했다는 내용의 민원이 대부분이었다.

대부분 대만 등 해외에서 접속한 이력이 있고 본인이 사용하지 않는 기기나 윈도 로그인 기록 등을 증거로 제시했음에도 구글 측은 가족이나 친지, 지인이 사용했을 수도 있다며 환불을 거부했다는 것이다. 피해자들이 계속해서 환불을 요청하자 구글은 계속 환불을 요청한 피해자에게 뒤늦게 해킹 정황을 확인했다며 환불 조치한 것으로 파악됐다.

최근 한 남성의 구글 계정에서 순식간에 10만9000원씩 19차례에 걸쳐 결제되는 사건이 발생했다. 남성은 구글 측에 환불을 요청했지만, 구글은 19건 중 8건에 대해서만 환불을 받을 수 있다고 통보하고 나머지 11건은 '부정 사용'을 확인할 수 없어 환불을 거부했다.

조승래 의원은 “정확한 피해 규모 등을 확인하기 위해 구글 측에 관련 자료를 요청했지만, 구글에서는 영업비밀이라는 이유로 자료 제출을 거부했다”며 “세계적인 IT기업인 구글이 계정 보안 관리를 이렇게 허술하게 하는 것도 문제며 기업에서 해킹인지 아닌지 구별하지 못하겠다는 이유로 소비자에게 책임을 전가하는 것도 매우 무책임한 태도”라고 지적했다.

◆재발 대책 시급…‘대리인 지정 제도’ 손질도 필요

한국소비자원에 따르면 지난 3월 기준 모바일게임 서비스에 대한 소비자 상담 건수가 전년 대비 월평균 7.5% 증가했다. 3월 한 달간은 전월 대비 69.6%나 폭증했다.

이 가운데 구글플레이 계정 유출로 인해 금전적 피해를 봤다는 사례가 다수 접수된 것으로 알려졌다. 피해자들은 명의도용자 또는 해커가 피해자의 앱 마켓 계정을 탈취, 카드나 휴대전화 등에 등록된 결제수단을 이용해 앱 내부 결제를 시도했다고 토로했다.

일각에서 기존 등록 기기 이외의 모든 장치 및 IP에서 결제 시도가 발생할 경우 이를 차단할 수 있는 강화된 규제와 지침이 필요하다는 주장이 나오고 있다. 그러나 법제화가 이뤄져도 구글이 제대로 따를지 알 수 없는 상황이다. 현재 구글은 OTP 인증 등 계정과 관련된 인증절차만 강화할 뿐 결제시스템에 대한 개선에는 나서고 있지 않다.

구글이 국내 이용자 보호에 소홀하다고 볼 부분이 또 있다. ‘대리인 지정 제도’ 이행 여부다.

대리인 제도는 방송통신위원회(방통위)가 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)을 개정해 작년 3월19일부터 시행됐다. 이에 따라 개인정보보호법에 따라 해외 정보통신 서비스 사업자도 우리나라 국민이 개인정보 수집·이용·제공 등의 동의 철회, 열람 청구, 정정 요구 등 개인정보 자기결정권을 행사할 수 있도록 국내 대리인을 지정·운영해야 한다. 전년도 매출액 1조원 이상, 정보통신서비스 부문 전년도 매출액 100억원 이상, 전년도 말 기준 직전 3개월간 개인정보 저장·관리 이용자 수 일평균 100만명 이상인 경우 중에 하나에 해당하면 의무 지정 대상이다.

그러나 구글은 지난해 국내 대리인 제도 시행 이후 고객 응대를 위한 자동응답시스템(ARS)조차 갖추지 않아 논란이 된 바 있다. 구글의 국내 대리인 디에이전트는 e메일로만 개인정보 처리 관련 문의를 접수하다 언론의 취재가 시작되자 제도 시행 6개월 만에 ARS 응대를 시작했다. 외부에 개인정보보호 자문위원회를 별도로 운영하고 있는 네이버와 카카오에 비해 현저히 낮은 수준의 고객 응대다.

방통위에 따르면 국내 대리인 제도가 시행된 2019년 이후 디지털성범죄 관련 적발건수가 2019년 2만 5992건, 2020년(8월 기준) 2만 4694건으로 2년간 5만686건에 달했다. 하지만 방통위는 지난해 3월 국내대리인 제도가 시행된 뒤 1년6개월 간 대리인에게 자료제출이나 시정조치를 한 차례도 요구하지 않았다. 한상혁 방통위원장은 “원칙적으로 말하자면 자료 제출이라는 게 사업자에 많이 부담돼 법 위반 혐의가 있을 때 자료 요청한다”고 했다.

이에 따라 국내 이용자를 보호하기 위한 법 제도의 실효성을 확보하기 위해 자료 제출을 의무화해야 한다는 주장이 나온다. 지난달 20일 한국OTT포럼 주최 웨비나에서 오픈루트 김유석 실장은 “동시에 해외사업자에 대한 법 제도 적용 실효성 확보를 위해 조사에 필요한 자료제출을 의무화하고 국내대리인 지정범위 조정도 검토해야 한다”고 강조했다.

<이대호 기자>ldhdd@ddaily.co.kr