107개 계정에 비인가 접근
OTP 취약점 이용 계좌 변경
개인정보 등 유출은 없는 듯
OTP 취약점 이용 계좌 변경
개인정보 등 유출은 없는 듯
중국계 e커머스인 알리익스프레스코리아의 판매자(셀러) 계정이 해킹돼 정산금 약 86억 원이 해커 계정으로 넘어간 것으로 뒤늦게 알려졌다.
20일 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아의 침해사고 신고서에 따르면, 회사는 지난해 10월 24일 판매자들이 이용하는 비즈니스 온라인 포털에 해커가 무단으로 접근했을 가능성을 인지해 내부 조사했다.
조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 셀러 계정에 비인가 접근한 것으로 나타났다. 또 이중 83개 계정의 정산금 계좌를 자신의 계좌로 불법적으로 변경한 것으로 나타났다. 이에 따라 600만 달러(약 86억 원)의 정산금이 셀러들에게 지급되지 않았다.
20일 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아의 침해사고 신고서에 따르면, 회사는 지난해 10월 24일 판매자들이 이용하는 비즈니스 온라인 포털에 해커가 무단으로 접근했을 가능성을 인지해 내부 조사했다.
조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 셀러 계정에 비인가 접근한 것으로 나타났다. 또 이중 83개 계정의 정산금 계좌를 자신의 계좌로 불법적으로 변경한 것으로 나타났다. 이에 따라 600만 달러(약 86억 원)의 정산금이 셀러들에게 지급되지 않았다.
알리는 해당 사건이 정산 프로세스 일부를 대상으로 한 외부 침입 시도로 파악했으며, 고객 개인정보나 소비자 정보에 대한 접근 또는 유출은 발생되지 않은 것으로 확인했다. 또 셀러들에게 미지급 정산금과 가산 지연이자를 더해 지급했으며, 이들은 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다.
신고서에 따르면 알리익스프레스는 일부 판매자로부터 정산금이 미지급됐다는 연락을 받기 전까지 이상징후를 확인하지 못했다. 알리익스프레스는 사고 확인 후 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 밝혔다.
과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 정보보호 인증도 받지 않은 것으로 나타났다.
알리익스프레스코리아는 이에 대해 "지난해 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했으며 현장 심사 등이 완료됐고 조만간 한국인터넷진흥원(KISA) 인증위원회에 심사 보고서가 제출될 예정"이라고 밝혔다.
김지영 기자 jikim@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.