 |
션 양 알리바바닷컴 글로벌 사업개발 총괄이 지난해 서울 강남구 조선팰리스호텔에서 열린 'Trade Assurance 서비스' 국내 공식 출시 기자간담회에서 발표를 마친 뒤 연단을 나서고 있다. 사진=강민석 기자 kms@newsway.co.kr |
[뉴스웨이 조효정 기자]
중국 이커머스 기업 알리익스프레스코리아의 판매자 계정이 해킹돼 80억원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 드러났다.
20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면, 알리익스프레스코리아는 지난해 10월 판매자 비즈니스 포털에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 실시했다.
조사 결과 해커는 비밀번호 복구용 일회용 비밀번호(OTP) 시스템의 취약점을 이용해 총 107개 판매자 계정의 비밀번호를 재설정하고, 이 중 83개 계정의 정산금 수령 계좌를 자신의 계좌로 변경한 것으로 드러났다. 이로 인해 지급되지 않은 정산금은 총 600만 달러(약 86억원)에 이르렀다.
알리익스프레스는 이후 미지급 정산금 전액에 지연이자를 포함해 판매자들에게 지급했으며, 금전적 손실이 발생하지 않도록 조치했다고 보고했다.
신고서에 따르면 알리익스프레스는 일부 판매자로부터 정산금이 입금되지 않았다는 문의를 받은 뒤에야 이상 징후를 인지한 것으로 나타났다.
사고 발생 이후 알리익스프레스는 해커가 이용한 OTP 시스템을 보완하고, 정산금 계좌 정보 등록 시 추가 재검증 절차를 도입하는 등 보안 조치를 강화했다고 밝혔다.
과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 정보보호 인증도 받지 않은 것으로 나타났다.
과기부는 "알리익스프레스코리아의 공식 재무제표가 전자공시시스템 등에 공개되지 않아 사업자가 직접 ISMS 인증 의무 대상인지 요건을 확인해야 하는 상황"이라며 "사업자에게 ISMS 인증 의무대상자일 수 있음을 통지해 의무대상자일 경우 인증을 받도록 안내할 예정"이라고 설명했다.
조효정 기자 queen@newsway.co.kr
저작권자(c)뉴스웨이(www.newsway.co.kr). 무단전재-재배포금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.