한국 e커머스 시장에 본격 진출한 중국 기업 테무가 개인정보 해외 이전 논란에 휩싸인 가운데, 개인정보 보호 규정을 위반한 전력이 있는 해외 기업에 국내 이용자의 전화번호를 이전하고 있는 것으로 확인됐다.

23일 호주 통신미디어청(ACMA) 문건에 따르면, 테무가 국내 이용자의 전화번호를 위탁한 호주 기업 신치(Sinch)가 개인정보 보호 규정을 위반해 당국의 제재를 받은 전력이 있는 것으로 드러났다.

앞서 테무는 지난 21일 국내 오픈마켓을 열고 한국 e커머스 시장에 본격 직진출하면서, 개인정보 처리 방침을 업데이트했다. 이 과정에서 국내 이용자의 개인정보 수집 범위를 확대하고 이를 제공받는 제3자 기업을 늘려 논란이 일었다. 개인정보가 이전되는 국가는 한국, 미국, 싱가포르, 일본, 호주, 인도네시아 등 6개국이며 총 27개 기업이 포함됐다.

문제는 신뢰성이 없는 해외 기업들이 테무에 의해 국내 개인정보를 받아보고 있다는 점이다. 실제 개인정보 보호 규정을 준수하지 않아 호주 당국의 제재를 받은 호주 기업 신치(Sinch)가 테무의 개인정보 이전 위탁 기업 목록에 포함됐다. 테무는 국내 이용자의 전화번호를 해당 업체에 이전하고 있다.

신치는 기업이 고객에게 문자나 전화를 보낼 수 있도록 지원하는 통신 서비스 제공업체(이하 CSP)다. 호주 내 이동통신망을 활용해 기업에 문자 및 전화 서비스를 제공하는 중개자 역할을 한다.

그러나 신치는 지난 2023년 호주 당국의 산업 규약을 위반했다. 실제 호주 통신미디어청(ACMA) 문건에는 "신치가 산업 규약 제5.2.1조 및 제5.2.2조를 준수하지 않았다"고 명시돼 있다.

해당 조항들은 통신 서비스 제공업체(CSP)가 발신자를 검증해야 할 의무를 규정하고 있다. 특히, 제5.2.1조는 기업이 CSP를 통해 문자를 발송할 경우, 기업들이 해당 번호에 대한 정당한 사용 권리를 보유하고 있는지 확인해야 한다고 규정한다. 만약 기업이 소유하지 않은 번호를 이용해 고객에게 문자를 발송하려 하면 CSP는 이를 차단해야 한다.

또한, 제5.2.2조는 기업이 CSP를 통해 문자를 보낼 때, 발신 번호 대신 알파벳으로 된 발신자 아이디(기업명)를 사용할 경우, CSP가 이를 엄격하게 검증해야 한다고 명시하고 있다.

그러나 신치는 이 같은 규정을 위반해 발신자 검증 절차를 제대로 수행하지 않았고, 그 결과 사기 문자 전송을 방치했다는 지적이 일어 당국 제재를 받은 바 있다. 즉, 부실한 개인정보 관리로 호주 당국 제재를 받은 전력이 있는 업체가 테무의 개인정보 위탁 기업 목록에 포함된 것이다.

더 큰 문제는 테무가 이같이 논란이 있던 기업을 위탁 기업 목록에 포함시키고도, 이용자가 자신의 개인정보를 해외로 이전하는 것에 동의하지 않으면 사실상 테무의 서비스를 사용할 수 없도록 제한했다는 점이다. 테무는 홈페이지에 개인정보 처리 방침에 '효율적인 서비스 제공을 위해 국내외 제3자 기업에 (한국 고객의) 개인정보 처리를 위탁한다'고 명시하면서도 '국외 이전을 거부할 경우 서비스를 이용할 수 없다'고 게시했다.

한편, 테무 측은 앞선 개인정보 수집 범위 확대 논란에 대해서는 번역상의 오류라고 해명했다. 테무 관계자는 "당사의 데이터 처리 방식에는 어떠한 변경도 없으며, 제3자와 공유되는 개인정보의 범위도 확대되지 않았다"며 "한국어 버전의 오류도 수정했다"고 전했지만 논란은 이미 확산된 뒤였다.