알리익스프레스 셀러 계정 해킹…"피해 정산금 86억원 지급 완료"

지난해 10월 셀러 정산 계좌 정보 해킹
정산금 계좌 정보 변경돼…86억원 지급 지연
알리 "모든 정산금 전액 지급 완료…추가 보상도"

중국계 e커머스 알리익스프레스에서 지난해 10월 셀러(판매자) 정보가 해킹돼 수십억 원의 정산금 지급이 지연된 것으로 파악됐다.

20일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 받은 '알리익스프레스 침해사고 신고서'에 따르면 알리익스프레스는 지난해 10월 16일 싱가포르에서 호스팅되는 판매자 온라인 포털에 해커의 무단 접근 가능성을 인지했다. 해당 판매자 포털은 판매자가 로그인해 자신의 비즈니스 계정 정보를 볼 수 있다.

알리익스프레스는 같은 달 24일 내부 조사를 통해 셀러 센터 내 107개 계정에 대해 제3자의 비인가 접근 정황을 확인했다. 이 중 83개 셀러의 정산 계좌 정보가 불법적으로 변경돼 정산금 지급이 지연된 것으로 알려졌다.

지급되지 않은 정산금의 규모는 600만달러(약 86억원)다.

다만 회사 측에 따르면 고객 개인정보나 소비자 정보 접근에 대한 접근이나 유출은 발생하지 않은 것으로 확인됐다.

해커는 플랫폼 정산금을 가로챌 목적으로 본인의 정산금 계좌를 새로 등록한 것으로 알려졌다. 포털 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 프로세스 취약점을 악용해 해킹을 시도한 것으로 보인다.

알리익스프레스코리아는 사실 확인 후 재발 방지를 위해 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다.

피해를 입은 셀러들의 정산금은 같은 달 20일까지 전액 지급 완료됐다. 정산 지연으로 인한 이자 손실에 대해서는 같은 달 27일, 적용 이자율의 2배에 해당하는 추가 보상을 지급했다.

한편, 알리익스프레스 코리아는 지난해 6월 자발적 신청자 자격으로 정보보호관리체(ISMS) 인증 신청서를 제출했다. 현장심사는 이미 완료됐으며, 조만간 한국인터넷진흥원(KISA) 인증위원회에 심사 보고서를 제출할 예정이다.

박재현 기자 now@asiae.co.kr