중국 이커머스 업체인 알리익스프레스코리아의 판매자(셀러) 계정이 해킹돼 86억원 상당의 정산금이 제때 지급되지 않은 것으로 확인됐다.
20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 알리익스프레스코리아 침해사고 신고서에 따르면, 회사는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에 대해 외부 해커의 무단 접근 가능성을 인지하고 내부 조사에 착수했다.
조사 결과 해커는 비즈니스 계정의 비밀번호 복구 과정에 사용되는 일회용 비밀번호(OTP) 시스템의 취약점을 악용해 총 107개 비즈니스 계정의 비밀번호를 재설정했다. 이 가운데 83개 계정에서는 정산금 입금 계좌가 해커 명의 계좌로 변경된 것으로 확인됐다. 이로 인해 정상적으로 지급되지 못한 정산금 규모는 600만달러, 한화로 약 86억원에 달했다.
 |
/알리익스프레스 제공 |
20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 알리익스프레스코리아 침해사고 신고서에 따르면, 회사는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에 대해 외부 해커의 무단 접근 가능성을 인지하고 내부 조사에 착수했다.
조사 결과 해커는 비즈니스 계정의 비밀번호 복구 과정에 사용되는 일회용 비밀번호(OTP) 시스템의 취약점을 악용해 총 107개 비즈니스 계정의 비밀번호를 재설정했다. 이 가운데 83개 계정에서는 정산금 입금 계좌가 해커 명의 계좌로 변경된 것으로 확인됐다. 이로 인해 정상적으로 지급되지 못한 정산금 규모는 600만달러, 한화로 약 86억원에 달했다.
알리익스프레스는 미지급된 정산금에 지연 이자를 가산해 판매자들에게 지급했으며, 판매자들이 금전적 피해를 입지 않도록 조치했다고 신고서에 명시했다. 다만 알리익스프레스는 일부 판매자들로부터 정산금 미지급 문의가 접수되기 전까지 회사 측은 별다른 이상 징후를 사전에 파악하지 못했던 것으로 나타났다.
사고 인지 이후 알리익스프레스는 해커가 악용한 OTP 시스템을 개선하고, 정산금 계좌 정보 변경에 대해 추가적인 재검증 절차를 도입했다고 밝혔다.
한편 과학기술정보통신부가 이해민 의원실에 제출한 자료에 따르면, 알리익스프레스코리아는 정보보호관리체계(ISMS) 및 개인정보보호관리체계(ISMS-P) 등 주요 정보보호 인증을 취득하지 않은 상태인 것으로 확인됐다.
이에 대해 과기정통부는 “알리익스프레스코리아의 공식 재무제표가 전자공시시스템 등에 공개되지 않아 사업자가 직접 ISMS 인증 의무 대상인지 요건을 확인해야 하는 상황”이라며 “사업자에게 ISMS 인증 의무 대상자일 수 있음을 통지해 의무 대상자일 경우 인증을 받도록 안내할 예정”이라고 설명했다.
알리익스프레스코리아 측은 “지난해 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했다”며 “현장 심사 및 관련 활동은 이미 완료되었으며, 조만간 한국인터넷진흥원 인증위원회에 심사 보고서가 제출될 예정”이라고 밝혔다.
정재훤 기자(hwon@chosunbiz.com)
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.