"한국인 명의 4700원"…쿠팡 계정, 中블랙마켓서 팔리고 있다

쿠팡 측 "이번 유출과 무관"하다지만…"내부통제 실패 땐 충분히 가능"
네이버·다음 계정도 유통…"대량 로그인 시도 피하라" 지침까지

중국 최대 쇼핑몰 타오바오에 coupang 계정을 판매하는 게시글이 다수 올라와 있다. 김장겸 국민의힘 의원 SNS 캡처

쿠팡에서 3370만 명에 달하는 역대 최대 규모의 개인정보 유출 사고가 발생한 가운데, 중국 현지 온라인 쇼핑몰과 전문 거래 사이트에서 한국인의 쿠팡, 네이버, 다음 계정이 버젓이 거래되고 있는 것으로 파악됐다.

기업들은 "직접적인 로그인 정보 유출은 없었다"고 해명하고 있지만, 대량으로 계정이 유통되고 있는 것으로 확인되면서 2차 피해 우려도 커지고 있다.

타오바오서 쿠팡 계정 '23~188위안'… "해킹이냐" 묻자 잠적

3일 IT 업계와 국회 등에 따르면, 중국 최대 이커머스 플랫폼인 '타오바오(Taobao)'에서는 한국인 명의의 쿠팡 계정이 23~188위안(한화 약 4700원~3만 9천원)에 거래되고 있다.

중국인으로 추정되는 계정 판매자들은 채팅을 통해 "인증된 계정(로그인 성공 계정)이며 바로 보내줄 수 있다"고 호객 행위를 하고 있다. 한 셀러는 "불법이 아니냐"는 질문에 "아니다"라고 딱 잡아떼다가, "한국인 계정을 해킹한 것 아니냐"는 추궁에는 "의심되면 다른 데 가서 사라"며 대화를 중단하고 잠적하기도 했다.

해외 사이트에서 쿠팡 계정이 거래되는 이 같은 상황은 '이름, 주소, 배송 정보는 유출됐으나 비밀번호 등 로그인 정보는 유출되지 않았다'는 쿠팡 측의 공식 입장과 배치되는 정황이다.

박대준 쿠팡 대표는 지난 2일 국회 과학기술정보방송통신위원회 긴급 현안 질의에서 타오바오 내 계정 판매에 대해 "이번 사건과는 무관해 보인다"며 "다크웹 등을 통해 다른 경로로 탈취된 계정일 가능성이 있다"고 선을 그었다.

하지만 김승주 고려대 정보보호대학원 교수는 국회 질의에서 "쿠팡 측 주장대로 API 토큰만 유출됐다면 거래가 어렵겠지만, 내부자 관리가 느슨해 아이디와 비밀번호가 함께 유출됐다면 (판매되는 계정이 유출본일) 시나리오도 충분히 가능하다"고 반박했다. 실제 이번 유출 사고는 쿠팡의 전직 중국인 개발자가 재직 당시 권한을 악용해 저지른 것으로 파악되고 있다.

중국 계정 거래 사이트에 '77GAME'의 네이버 계정 판매글이 올라와 있다. 가격은 계정당 29.99위안(한화 약 6200원)으로 책정됐다. 77GAME 홈페이지 화면 캡처

네이버·다음 계정도 중국 사이트서 유통

문제는 쿠팡뿐만이 아니다. 중국 내 계정 거래 전문 사이트인 '77GAME' 등에서는 네이버와 다음(Daum) 등 국내 포털 계정이 조직적으로 판매되고 있다.

CBS노컷뉴스 취재진이 해당 사이트에 직접 접근한 결과, 네이버 계정(Naver邮箱)은 개당 29.99위안(한화 약 6200원)에 판매되고 있었다. 다음·카카오 계정 역시 같은 가격대로 '재고 있음' 상태였다.

구글 메일(Gmail), 페이스북(facebook), 틱톡(Tictok), 애플(Apple), 인스타그램(Instagram), 레딧(reddit), 엑스(X·옛 트위터) 등 해외 SNS 계정도 이곳에서 판매되고 있었다.

이 사이트는 단순 판매를 넘어 계정의 '생존율'을 높이기 위한 치밀한 행동 강령까지 구매자에게 제공하고 있었다.

판매 게시글에는 △구매 후 오염된 IP(污染IP)로 로그인하지 말 것 △네이버 캡처(보안 문자)는 일반 OCR로 뚫기 어려우니 음성 인식을 활용하거나 10분을 기다려 난이도를 낮출 것 △구매 즉시 비밀번호와 복구용 이메일을 변경할 것 등 지침이 구체적으로 명시돼 있다.

'오염된 IP'란 용어는 공식 명칭이 아닌 온라인 은어로, 중국어권 계정 판매 포럼과 아이피 우회 수단 중 하나인 '프록시(proxy)' 관련 커뮤니티에서 이를 보통 여러 사용자·다계정 운영자들이 반복 로그인에 사용해 플랫폼에 '위험 IP'로 등록된 주소를 뜻하며, 이런 IP로 접속할 경우, 로그인 제한이 자동으로 걸릴 가능성이 높은 것으로 알려져 있다.

'훔친 계정'이라 부르며 대량 거래…범죄 악용 우려

해당 사이트는 게임사 크래프톤이 2017년 출시한 국산 게임 '배틀그라운드', 미국 라이엇 게임즈의 '리그 오브 레전드' 등의 계정을 판매하는 게시글에서 '흑화호(黑货号)'라는 용어를 사용하기도 했다. 이는 중국 암시장에서 통상 '출처가 불분명하거나 훔친 계정(Black Market Goods)'을 뜻하는 은어다.

해당 사이트에서는 계정의 대량 거래도 이뤄지고 있었다. 판매자가 '대량 구매 시 서로 다른 기기에서 분산 로그인하라'고 밝힌 점에서 범죄 악용 가능성을 판매 전부터 고려한 것이 아니냐는 우려도 나온다. 판매자는 계정 판매 게시글에 "마케팅, 군집제어(매크로), 단일 IP 다중 접속 등으로 인한 '리스크 통제(보안 제재)' 발생 시 AS는 불가하다"고 경고했다. 해당 계정들이 스팸 발송이나 여론 조작을 위한 '대포 계정'으로 쓰일 가능성으로 해석된다.

심지어 생성형 AI인 '챗GPT' 계정도 거래되고 있었다. 여기에는 유료 결제 기능이 연동될 수 있는 'API 키'가 포함된 경우도 있어 금전적 피해로 이어질 가능성이 제기된다.