‘알리’ 판매자 계정, 지난해 10월 해킹…정산금 86억 원 털려

중국 이커머스 업체인 알리익스프레스코리아의 판매자 계정 100여 개가 지난해 10월 해킹된 사실이 뒤늦게 알려졌습니다.

당시 해커는 판매자들이 받아야 하는 정산금 86억 원을 가로챈 것으로 확인됐습니다.

한국인터넷진흥원(KISA)이 국회 과학기술방송통신위원회 소속 이해민 의원실(조국혁신당)에 제출한 ‘알리익스프레스 침해사고 신고서 사본’을 보면, 알리 측은 자사 판매자 포털에 ‘침해 사고’가 있었다고 지난해 10월 24일 한국인터넷진흥원에 신고했습니다.

정보통신망법에 따르면 정보통신서비스 제공자는 사이버 침해사고를 알게 된 때부터 24시간 이내에 한국인터넷진흥원 또는 과학기술정보통신부에 신고해야 하며, 이를 어기면 과태료 3천만 원이 부과됩니다.

신고서에서 알리 측은 지난해 10월 16일 자사의 판매자 포털에 대한 해커의 무단 접근 가능성을 처음 인지했다고 밝혔습니다.

판매자 포털은 알리의 ‘비즈니스 판매자’가 로그인해 본인 기업의 비즈니스 계정 정보를 볼 수 있는 사이트입니다.

알리 측은 당초 이상 징후를 인지하지 못 하다가, 일부 판매자들이 정산이 제대로 안 됐다고 알린 것을 계기로 조사에 착수한 걸로 전해졌습니다.

알리 측은 지난해 10월 16일부터 23일까지 8일 동안 내부 조사를 벌였고, 판매자 포털 계정의 비밀번호 복구에 사용되는 일회용 비밀번호(OPT) 프로세스의 취약점을 해커가 악용해 포털에 무단 접근한 것으로 파악했습니다.

해커가 자신의 이메일 주소를 사용해 OTP 프로세스를 통과하고, 피해 계정의 비밀번호를 바꿨다는 설명입니다.

그 결과 알리 측은 판매자 비즈니스 계정 107개의 비밀번호가 재설정됐고, 이 가운데 83개 계정에 대해선 해커가 정산금을 가로채기 위해 정산금 계좌에 자신의 계좌를 새로 등록한 것으로 파악했습니다.

이에 판매자들에게 제때 지급되지 않은 정산금은 600만 달러, 당시 환율로 약 86억 원이었습니다.

알리 측은 신고서에서 “이번 사고로 인해 피해를 받은 판매자들이 어떠한 금전적 손실도 입지 않도록 보장했다”고 밝혔습니다.

또 오늘(20일) 별도 입장문을 통해 “모든 정산금은 10월 20일까지 전액 지급 완료했다”며 “정산 지연으로 인한 이자 손실에 대해선 10월 27일, 적용 이자율의 2배에 해당하는 추가 보상까지 지급했다”고 설명했습니다.

알리 측은 사고 이후 조치 사항으로 모든 판매자 계정에 대해 OTP 인증 프로세스의 기술적 취약점을 즉시 수정하고, 판매자들의 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 한국인터넷진흥원에 보고했습니다.

알리 측은 신고서에 이번 사고를 경찰에 신고했다고 표시했지만, 실제로는 경찰에 신고하지 않은 걸로 확인됐습니다.

한국인터넷진흥원 관계자는 “사고 원인을 아직 조사하고 있다”면서 “알리 측이 우리 측에 신고를 제대로 한 것인지도 검토할 예정”이라고 밝혔습니다.

알리 측은 오늘 해킹 사고에 대한 입장문을 내고 “본 사안은 정산 프로세스 일부를 대상으로 한 외부 침입 시도로 파악됐다”며 “고객·소비자 정보에 대한 접근이나 유출은 발생하지 않은 걸로 확인됐다”고 밝혔습니다.

이어 “사실 확인과 동시에 관계당국에 즉각 신고 및 공식 보고를 완료했고, 관련 조사에도 적극 협조할 예정”이라고 강조했습니다.

알리 측은 또 “관계 법령을 준수하고 한국인터넷진흥원의 가이드에 따라 본 사안에 지속적으로 대응해 나갈 것”이라며 “국내 판매자분들께서 안심하고 플랫폼을 이용하실 수 있도록 시스템 안정성과 예방 체계를 지속적으로 강화하고 있다”고 밝혔습니다.

[사진 출처 : 연합뉴스 / 알리익스프레스 제공]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

김채린 기자 (dig@kbs.co.kr)