알리익스프레스 로고 [알리익스프레스 제공, 재판매 및 DB 금지]

알리익스프레스코리아의 판매자 계정이 해킹당해 약 86억원에 달하는 정산금이 해커의 손으로 넘어간 사실이 뒤늦게 드러났다.

1월 20일 조국혁신당 이해민 의원이 한국인터넷진흥원으로부터 입수한 침해사고 신고서에 따르면 알리익스프레스코리아는 지난해 10월 판매자들이 이용하는 비즈니스 온라인 포털에 해커가 무단으로 침투한 정황을 인지해 자체 조사에 착수했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구 시 사용되는 일회용 비밀번호(OTP) 시스템의 취약점을 이용해 107개 계정의 비밀번호를 무단으로 재설정한 것으로 확인됐다. 이 중 83개 계정에서는 정산금이 입금될 계좌 정보를 해커 본인 명의 계좌로 바꿔치기했다. 이렇게 빼돌려진 금액은 600만 달러, 우리 돈으로 약 86억원에 달한다.

더 큰 문제는 알리익스프레스코리아가 피해 판매자들로부터 직접 연락을 받기 전까지 아무런 이상 징후를 감지하지 못했다는 점이다. 즉, 회사 자체 보안 시스템이 침해 사실을 능동적으로 탐지하지 못한 셈이다. 알리익스프레스는 사고 확인 이후 OTP 시스템을 수정하고 정산 계좌 변경 시 추가 재검증 절차를 도입했다. 미지급된 정산금은 지연이자를 포함해 판매자들에게 전액 지급해 실제 금전 피해는 발생하지 않았다고 회사 측은 밝혔다.

그러나 과학기술정보통신부가 의원실에 제출한 자료에서는 알리익스프레스코리아가 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 인증을 아직 받지 않은 것으로 나타났다. 중국계 대형 플랫폼 사업자가 기본적인 정보보호 인증 절차도 마치지 않은 상태에서 운영됐다는 점에서 보안 관리 체계 전반에 대한 비판이 제기되고 있다. 알리익스프레스코리아는 지난해 6월 자발적으로 ISMS 인증을 신청해 현장 심사까지 마쳤으며 조만간 인증위원회 심사 보고서가 제출될 예정이라고 해명했다.

“ 저작권자 ⓒ 퍼스널포커스 무단전재 및 재배포 금지 ”