중국 이커머스 업체인 알리익스프레스코리아(이하 알리)에서 판매자(셀러) 계정 해킹사고가 발생해 80억 원이 넘는 정산금 지급이 지연된 사실이 뒤늦게 드러났다.20일 조국혁신당 이해민 의원이 한국인터넷진흥원으로부터 확보한 알리의 침해사고 신고서에 따르면 알리는 지난해 10월 판매자용 비즈니스 포털에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다.
조사 결과 해커는 일회용 비밀번호(OTP)복구 과정의 취약점을 악용해 107개 비즈니스 계정의 비밀번호를 재설정했으며 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 변경한 것으로 나타났다.
이로 인해 미지급된 정산금은 600만 달러 우리 돈으로 약 86억 원에 달했다.
알리는 미지급 정산금에 지연이자를 더해 판매자들에게 지급했으며 금전적 피해는 없도록 조치했다고 밝혔다.
그러나 일부 판매자의 문제 제기 전까지 이상 징후를 인지하지 못한 점에서 보안 관리 부실 논란이 제기된다.
특히 알리익스프레스 코리아는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 국내 정보보호 인증을 받지 않은 상태로 당국은 인증 의무 대상 여부를 검토해 조치할 방침이다.
이에 대해 알리 측은 “작년 6월 자발적 신청자 자격으로 정보보호관리체계(ISMS) 인증 신청서를 공식 제출했으며 현장 심사 및 관련 활동은 이미 완료됐다”며 “한국인터넷진흥원(KISA) 인증위원회에 심사 보고서가 제출될 예정”이라고 말했다.
정유진 기자 jinjin@hankyung.com
관련뉴스
