[디지털데일리 이안나 기자] 최근 지마켓 상품권 도용 사건은 이커머스 업계 개인정보보호에 대한 경각심을 높였다. 외부에서 유출된 아이디·비밀번호를 무작위로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑’ 공격으로, 지마켓 사용자들 e쿠폰이 도용됐다. 지마켓은 고객센터에 피해 사실을 알린 고객에게 도용된 금액 전부를 자체 포인트 스마일캐시로 보상하기로 했다.

단발성으로 끝날 문제가 아니다. 크리덴셜 스터핑 공격은 지난 1월에만 인터파크·지마켓 등 이커머스 업계에서 연속으로 벌어졌다. 판매자와 고객들이 대거 모인 온라인쇼핑몰은 누구도 방심할 수 없다는 의미다. 지마켓 사고 후 11번가는 e쿠폰 핀번호 확인에 2차 인증을 추가했다. 쿠팡은 해킹·개인정보 도용으로 계정이 누출됐을 경우, 해당 계정을 제한한다고 이용 약관에 추가했다.

물론 이커머스 업체들의 보안 강화는 ‘양날의 검’이 될 수 있다. 고객 정보를 보호하기 위해 각종 인증 절차와 복잡한 시스템을 추가할수록 사용자 앱 편의성은 떨어진다. 이미 각 사이트마다 비밀번호 설정 기준이 제각각이라 사용자들이 이를 다 기억하기 어렵다는 불만이 파다하다. 여기에 보안 절차들이 추가되면 복잡성·피로감이 느껴지는 것도 사실이다.

고객 유입과 체류 시간 등이 중요한 이커머스 업체들에 사용자 편의성을 떨어뜨리는 요인은 부담이 될 수 있다. 그럼에도 불구하고 불편함을 감수, 보안을 강화하는 게 결국은 소비자를 오래 잡아둘 수 있는 전략이 된다. 편의성을 고집하다 고객 정보가 유출·도용되는 사고가 발생하면, 순식간에 많은 고객이 떠나버릴 가능성이 높다.

이커머스 고객 정보는 해커들에게 매력적일 수밖에 없다. 상거래가 이뤄지는 곳인 만큼 사용자 이름과 연락처, 주소에 더해 e쿠폰처럼 구매내역·선불충전금까지 예민한 정보가 담겨있다. 이에 이커머스 고객정보 탈취 시도는 과거서부터 꾸준히 이어져왔다. 오픈마켓 판매자 계정을 도용해 가짜 매물을 올리고 돈만 받아 잠적하거나 판매자들에게 피싱 메일을 보내는 시도가 이뤄지는 방식이 대표적이다.

2년 전 판매자·고객들을 중개하는 오픈마켓 업체들 대다수가 개인정보보호법 위반으로 과태료를 부과받은 적 있다. 판매자 계정 안전성 확보가 미흡하다는 이유였다. 네이버·쿠팡·11번가·인터파크·롯데온 등 일평균 방문자 수 1만명 이상인 11개 오픈마켓 중 9개 기관이 법 위반으로 적발됐다.

이후 주요 오픈마켓 업체들은 개인정보보호위원회와 손잡고 민관협력 자율규제 규약을 마련했다. 유의미한 결과는 오픈마켓 사업자들이 ‘셀러툴(쇼핑몰 종합관리 프로그램)’ 사업자와 응용프로그램인터페이스(API) 연동을 합의했다는 점이다. 오픈마켓 입장에선 판매자·고객 외에 셀러툴까지 관리하면서 번거로운 부분이 늘어나게 된다. 그러나 소량 개인정보 유출도 큰 피해로 이어질 수 있다는 점을 고려하면, 고객과 사업자 모두 불편함을 감수한 보안 강화는 피할 수 없는 흐름이다.