“알리서 물건 팔았는데 정산금 안들어와요”…셀러계정 털려 86억 떼일 뻔

107개 계정 비밀번호 몰래 재설정
이중 83개 개정 정산금 계좌 변경
총 600만 달러 제때 지급되지 않아
“모든 정산금 지연이자 더해 지급”

서울시내 한 지하철역 승강장에 알리익스프레스의 광고가 걸려 있다. [한주형기자]

중국 이커머스 업체 알리익스프레스코리아의 판매자(셀러) 계정이 해킹돼 80억 원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 드러났다.

20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 확보한 알리익스프레스코리아 침해사고 신고서에 따르면, 알리익스프레스는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에 해커가 무단 접근했을 가능성을 인지하고 내부 조사를 진행했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 시스템의 취약점을 악용해 107개 비즈니스 계정의 비밀번호를 재설정했다. 이 가운데 83개 계정에서는 정산금 지급 계좌가 해커의 계좌로 변경된 것으로 확인됐다. 이로 인해 제때 지급되지 않은 정산금은 총 600만 달러(약 86억 원)에 달했다.

알리익스프레스는 미지급된 정산금에 지연 이자를 더해 판매자들에게 지급했으며, 판매자들이 금전적 손실을 입지 않도록 보전 조치를 완료했다고 신고서에 보고했다.

다만 알리익스프레스는 일부 판매자들이 정산금 미지급을 문의하기 전까지 내부적으로 이상 징후를 파악하지 못한 것으로 나타났다. 회사는 사고 확인 이후 해커가 악용한 OTP 시스템을 수정하고, 정산금 계좌 정보 변경 시 추가 재검증 절차를 강화했다고 밝혔다.

한편 과학기술정보통신부가 의원실에 제출한 자료에 따르면, 알리익스프레스코리아는 정보보호관리체계(ISMS)나 개인정보보호관리체계(ISMS-P) 등 국내 정보보호 인증을 받지 않은 상태였다. 과기부는 “알리익스프레스코리아의 공식 재무제표가 전자공시시스템 등에 공개되지 않아 ISMS 인증 의무 대상 여부를 추가로 확인해야 한다”며 “의무 대상에 해당할 경우 인증을 받도록 사업자에게 안내할 예정”이라고 설명했다.