알리익스프레스, 판매자 계정 ‘해킹 사고’…미지급 정산금 80억원

▲알리익스프레스 로고 (사진제공=알리익스프레스)

중국 이커머스 업체 알리익스프레스코리아(알리)의 판매자(셀러) 계정이 해킹돼 80억 원이 넘는 정산금이 제때 지급되지 않은 것으로 나타났다.

20일 한국인터넷진흥원이 이해민 조국혁신당 의원실에 제출한 '알리 침해사고 신고 접수 내역'에 따르면 지난해 10월 16일부터 23일까지 알리 셀러 온라인 포털에 해커가 무단 접근해 계정을 도용한 해킹 사건이 발생했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정하고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 나타났다.

이 때문에 지급되지 않은 정산금은 600만 달러(약 86억 원)이었다.

알리는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했으며, 판매자들은 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다.

신고서에 따르면 알리는 일부 판매자로부터 정산금이 미지급됐다는 연락을 받기 전까지 이상징후를 확인하지 못했다.

알리는 사고 확인 후 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 밝혔다.

과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 정보보호 인증도 받지 않은 것으로 나타났다.