알리익스프레스 코리아, 판매자 계정 해킹으로 정산금 86억 원 증발

알리익스프레스 CI. [뉴스락]

[뉴스락] 알리익스프레스 코리아 플랫폼에서 판매자의 정산금을 편취할 목적으로 계정을 해킹한 침해 사례가 뒤늦게 알려지며 파장이 일고 있다.

20일 이해민 조국혁신당 의원실에 따르면, 지난해 10월 알리익스프레스 코리아 판매자 계정이 해커에 의해 침해된 사건이 접수된 것으로 확인됐다.

이번 사건은 알리익스프레스 코리아 포털의 비밀번호 복구 과정에서 사용되는 일회용 비밀번호(OTP) 프로세스의 취약점을 악용한 것이 원인이었다.

해커는 자신의 이메일 주소를 사용해 OTP 인증 절차를 통과한 뒤, 피해 계정의 비밀번호를 무단으로 재설정한 것으로 드러났다.

이로 인해 총 107개의 판매자 비즈니스 계정 비밀번호가 재설정됐으며, 이 중 83개 계정의 경우 해커가 정산금을 가로채기 위해 본인의 계좌를 새로 등록하기까지 했다.

이번 사고로 판매자들이 지급받지 못한 정산금 규모는 무려 86억 원에 달하는 것으로 파악됐다.

특히 문제가 되는 점은 알리익스프레스 코리아 측이 사고를 직접 확인하기 전까지 이상 징후를 전혀 인지하지 못했다는 사실이다.

또한, 알리익스프레스 코리아는 현재 정보보호관리체계(ISMS) 인증을 받지 않은 상태여서 판매자들의 개인정보 보안 관리가 부실했다는 지적이 잇따르고 있다.

업계 관계자들은 이번 사건이 판매자뿐만 아니라 일반 소비자들에게까지 개인정보 침해에 대한 불안감을 심어줄 수 있다며 우려를 표하고 있다.

다만 알리익스프레스 코리아 측은 해당 사안을 확인한 후 신속하게 대응했으며 판매자들의 재정적 손실에 대해 전액 보상을 마쳤다는 입장이다.

알리익스프레스 관계자는 <뉴스락> 과의 통화에서 "관계 법령을 준수하고 한국인터넷진흥원(KISA)의 가이드에 따라 본 사안에 지속적으로 대응해 나갈 것"이라며 "판매자들의 정산금은 지난해 10월 20일까지 전액 지급 완료됐으며, 정산 지연으로 인한 이자 손실에 대해서도 적용 이자율의 2배에 해당하는 추가 보상금을 지급했다"고 밝혔다.