알리 셀러 계정 해킹돼 정산금 86억원 지급 지연

알리익스프레스 로고. [사진=알리익스프레스]

중국 이커머스(전자상거래) 업체 알리익스프레스코리아의 판매자(셀러) 계정이 해킹돼 80억원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 드러났다.

20일 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아의 침해사고 신고서에 따르면, 회사는 지난해 10월 판매자들이 이용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP)의 취약점을 악용해 107개 비즈니스 계정의 비밀번호를 재설정한 것으로 확인됐다. 이 가운데 83개 계정의 정산금 계좌를 해커 본인 계좌로 새로 등록한 것으로 확인됐다. 이로 인해 지급되지 않은 정산금 규모는 600만 달러(약 86억원)에 달했다.

알리익스프레스는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했으며, 판매자들이 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다.

다만 신고서에는 알리익스프레스가 일부 판매자로부터 정산금 미지급 문의를 받기 전까지 내부적으로 이상 징후를 인지하지 못한 것으로 나타났다. 회사는 사고를 확인한 이후 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 했다.
한편, 과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스는 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 등 정보보호 인증도 받지 않은 것으로 나타났다. 과기부는 "알리익스프레스코리아의 공식 재무제표가 전자공시시스템 등에 공개되지 않아 사업자가 직접 ISMS 인증 의무 대상인지 요건을 확인해야 하는 상황"이라며 "사업자에게 ISMS 인증 의무대상자일 수 있음을 통지해 의무대상자일 경우 인증을 받도록 안내할 예정"이라고 설명했다.

이에 알리익스프레스 코리아는 "지난해 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했다"며 "현장 심사 및 관련 활동은 이미 완료했고, 조만간 한국인터넷진흥원 인증위원회에 심사 보고서가 제출될 예정"이라고 말했다.
아주경제=홍승완 기자 veryhong@ajunews.com

- Copyright ⓒ [아주경제 ajunews.com] 무단전재 배포금지 -