알리익스프레스 해킹에 플랫폼 불신 확산…'협업 리스크' 시험대

김나연 기자 2026. 1. 22. 16:05
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
알리익스프레스 셀러 계정 해킹…정산금 86억원 미정산
알리 "2차 인증 등 보안강화 조치"

알리익스프레스 CI. ⓒ알리익스프레스

알리익스프레스 CI. ⓒ알리익스프레스

[스포츠한국 김나연 기자] C-커머스(중국계 이커머스 플랫폼) 중 하나인 알리익스프레스에서 판매자 계정이 해킹돼 86억원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 확인됐다. 해커가 일회용 비밀번호(OTP)의 취약점을 악용해 정산금 수령 계좌를 바꿔치기했지만, 알리는 일부 판매자의 문제 제기 전까지 이상 징후조차 인지하지 못한 것으로 나타났다. 사후 대응과 보안 관리 논란까지 겹치며 외국계 이커머스 플랫폼 전반의 신뢰 문제가 다시 도마에 올랐다.

22일 유통업계에 따르면 알리익스프레스(이하 알리)는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에서 외부의 무단 접근 정황을 확인하고 내부 조사에 착수했다.

조사 결과 해커는 OTP 취약점을 악용해 107개 계정의 비밀번호를 재설정했으며, 이 가운데 83개 계정의 정산금 수령 계좌를 자신의 계좌로 변경한 것으로 나타났다. 이로 인해 지급돼야 할 판매대금 약 600만달러(약 86억원)가 제때 정산되지 않았다. 구체적인 피해 규모는 추가 조사 결과를 기다려야 하는 상황이다.

알리 측은 미지급된 정산금에 지연 이자를 더해 판매자들에게 지급했으며, 판매자들이 금전적 손실을 입지 않도록 조치했다고 밝혔다. 그러나 한국인터넷진흥원(KISA)에 제출된 '알리익스프레스코리아 침해사고' 신고서에 따르면 알리는 일부 판매자들로부터 정산금 미지급 연락을 받기 전까지 이상징후를 인지하지 못했다.

또한 신고서에 따르면 알리는 '경찰 신고 여부' 항목에 '예'라고 기재했지만, 실제로는 수사기관에 신고하지 않은 것으로 확인됐다. 알리 측은 "경찰 신고는 의무 사항이 아니어서 진행하지 않았다"고 해명했으나, 정부 기관의 사고 파악과 조사를 지연시키고 허위 정보를 제출했다는 비판도 제기됐다.

정보보안 관리 부실 문제도 도마 위에 올랐다. 과학기술정보통신부가 이해민 조국혁신당 의원실에 제출한 자료에 따르면 알리는 현재 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 등 국내 주요 정보보호 인증을 받지 않은 상태다.

이에 대해 알리 측은 "지난해 6월 자발적 신청자 자격으로 ISMS 인증을 신청했고 현장 심사를 마쳤으며, 조만간 한국인터넷진흥원 인증위원회에 심사 보고서가 제출될 예정"이라고 밝혔다.

사고 규모를 넘어 사후 대응 논란과 보안 관리 문제 등 여러 이슈가 겹치면서, 업계에서는 이번 사안에 대한 정부와 정치권의 대응 수위가 낮다는 지적도 제기된다. 비슷한 사고가 발생했던 국내 타 플랫폼 기업들과 비교하면 알리에 대한 정부의 대응이 상대적으로 약하다는 것이다.

한 업계 관계자는 "쿠팡이나 네이버 등 국내 플랫폼 기업에서 개인정보 이슈가 발생하면 국회 국정감사에 최고경영진을 소환해 책임 여부를 가리고, 시정명령이나 과징금 등 강도 높은 제재가 뒤따른다"며 "이와 비교하면 이번 사안에 대한 정치권의 반응은 사실상 방관에 가깝다"고 꼬집었다.

알리는 이전에도 국내에서 보안 문제로 여러 차례 논란의 중심에 선 바 있다. 모회사인 알리바바는 지난해 6월 국내 이용자들의 개인정보를 무단으로 중국으로 이전한 혐의로 개인정보보호위원회로부터 19억원의 과징금을 부과받았다.

그럼에도 알리 측은 이번 해킹 사고에 대해 "쿠팡과 같은 소비자 피해 사례와는 결이 다르기에 비교할 사안이 아니다"라며 선을 그었다. 이를 두고 앞선 개인정보 유출 사태를 외면한 태도라는 비판도 나오고 있다.

업계 일각에서는 지난해 알리와 합작법인을 설립하고 국내 이커머스 사업을 확대 중인 신세계그룹도 직접적인 피해와는 별개로 신뢰 관리와 협업 리스크를 떠안게 됐다는 분석이 나온다. 알리는 신세계그룹 계열사 지마켓의 지분을 알리바바인터내셔널과 각각 50%씩 보유하고 있다.

하지만 신세계 측은 이번 해킹 사고와 자사 플랫폼은 무관하다는 입장이다. 신세계그룹 관계자는 "이번 침해사고로 신세계가 입은 타격이나 개인정보 유출 정황은 없다"고 밝혔다.

이어 "지마켓과 알리익스프레스 플랫폼은 각각 분리된 형태로 운영되고 있으며, 소비자 데이터도 별도로 관리하고 있다"며 "합작법인의 보안 문제를 우려할 필요는 없다"고 덧붙였다.

그럼에도 업계의 우려는 쉽게 가라앉지 않고 있다. 한 이커머스업계 관계자는 "실제 피해 여부와 무관하게 파트너 플랫폼에서 대형 보안 사고가 반복되면 협업 기업 역시 신뢰도 하락을 피하기 어렵다"고 말했다.

또 다른 관계자는 "국내 이커머스 시장에서 소비자들은 개인정보와 데이터 안전·신뢰 문제에 점점 더 민감해지고 있다. 알리 개인정보 유출 문제와 쿠팡 사태 등을 거치며 중국 업체에 대한 소비자들의 신뢰도가 점차 하락하는 분위기"라며 "외국계 플랫폼, 특히 C커머스와의 협업을 확대하는 기업일수록 파트너 리스크를 관리하는 능력이 더욱 중요하다"고 강조했다.

 

스포츠한국 김나연 기자 yeonpil@hankooki.com

Copyright © 스포츠한국. 무단전재 및 재배포 금지.

스포츠한국에서 직접 확인하세요. 해당 언론사로 이동합니다.