 |
게티이미지뱅크 |
중국계 이커머스 알리익스프레스(이하 알리)에서 지난해 10월 입점 판매자(셀러) 계좌 정보가 해킹돼 정산금 86억원을 가로채는 사고가 발생했던 것으로 뒤늦게 확인됐다. 알리는 이같은 사실을 수사기관에 신고하지 않은 것으로 파악됐다.
19일 이해민 조국혁신당 의원실을 통해 입수한 ‘알리익스프레스 침해사고 신고서’를 보면, 알리는 지난해 10월16일 한 한국인 셀러에게서 정산금이 지급되지 않았다는 연락을 받았다. 알리의 정산금 지급일은 매달 15일이다. 알리는 이 일을 계기로 내부 조사를 벌여 ‘알리익스프레스 코리아 셀러 센터’에서 총 107개 판매자 계정의 비밀번호가 재설정됐으며, 이 가운데 83개 계정의 계좌번호가 해커에 의해 변경된 사실을 인지했다.
해커는 83개 셀러에게 지급돼야 할 600만달러(약 86억원)를 가로챈 것으로 나타났다. 피해 셀러의 신고를 통해 해킹 정황을 알게 된 알리는 같은달 20일 가산 지연이자를 포함한 정산금을 전부 지급했다고 한다. 알리 관계자는 “이번 사안으로 발생한 재정적 손실은 알리가 전액 부담했으며, 셀러 보호를 최우선으로 해 셀러에게는 어떠한 실질적인 자금 손실도 발생하지 않았다”고 말했다. 그러면서 “고객 데이터는 안전하며, 이번 사안으로 인해 어떠한 개인정보도 유출되거나 침해된 사실은 없는 것으로 확인됐다”고 덧붙였다.
알리 쪽이 해킹 사고 보고 과정에서 허위 정보를 제출한 사실이 드러났다. 알리는 지난 10월24일 한국인터넷진흥원에 제출한 침해사고 신고서에서 ‘경찰 신고여부’ 항목에 ‘예’라고 표시했지만, 실제 수사기관에 피해 사실을 신고하지 않은 것으로 나타났다. 이 탓에 경찰 조사를 기다리던 진흥원 쪽의 침해사고 조사에도 일부 차질이 빚어진 것으로 드러났다. 한국인터넷진흥원 관계자는 “경찰 조사 과정에서 확인되는 사실들이 있는데, 경찰 신고를 하지 않았다는 사실을 뒤늦게 알게 돼 자체조사 보고서를 요청했다”고 말했다. 알리 관계자는 “신고서 제출 뒤 경찰에 알리려고 했지만, 경찰 신고가 의무가 아니라고 해서 하지 않았다”고 말했다.
김도승 개인정보보호법학회장(전북대 법학전문대학원 교수)는 “개인정보 유출이 없다고 하지만, 계좌번호를 바꿀 정도면 단순한 시스템 침입을 넘어 부정 접속으로 데이터베이스를 건드린 상당히 이례적이고 고도화된 해킹”이라며 “해커가 일반 고객 정보에 접근할 가능성에 대해서도 기술적으로 검증해 봐야 할 필요성이 매우 크다”고 말했다. 이어 김 교수는 “기본적으로 신고서 내용에 허위가 들어가면 신고 의무를 지키지 않은 것으로 봐야 한다. 사고 경위를 포함해 회사의 대응 및 조처 등에 대해서도 점검이 필요하다”고 지적했다.
이번 사고로 인해 알리와 손을 잡은 국내 기업에 대해서도 보안 우려가 나온다. 신세계그룹 계열사인 지마켓의 지분은 신세계그룹과 알리바바인터내셔널이 각각 절반씩 갖고 있다. 신세계그룹 관계자는 “지마켓과 알리는 분리된 형태로 운영하고 있으며 소비자 데이터 역시 각각 관리하고 있다. 합작법인의 보안문제를 우려하지 않아도 된다”고 말했다.
이해민 조국혁신당 의원은 “이번 사고는 알리가 우리 국민과 소상공인을 보호할 최소한의 안전장치도 없이 장사했다는 뜻과 다름없다. 86억이라는 실제 금전 피해가 발생한 중대한 사안에 대해 경찰에 신고도 안 해놓고 신고했다고 허위보고를 하기도 했다. 알리가 정보보호관리체계(ISMS) 인증을 받고 재발 방지를 하도록 관련 부처의 관리감독이 필요하다”고 말했다.
이주빈 기자 yes@hani.co.kr
[한겨레 후원하기] 시민과 함께 민주주의를
겨울밤 밝히는 민주주의 불빛 ▶스토리 보기
▶▶한겨레 뉴스레터 모아보기
이 기사의 카테고리는 언론사의 분류를 따릅니다.