알리익스프레스 로고. 사진 알리익스프레스

중국 이커머스 업체 알리익스프레스코리아의 판매자 계정이 해킹돼 80억 원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 드러났다.

20일 조국혁신당 이해민 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아 침해사고 신고서에 따르면, 회사는 지난해 10월 판매자들이 이용하는 비즈니스 온라인 포털에 대해 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 시스템의 취약점을 악용해 107개 비즈니스 계정의 비밀번호를 재설정했다. 이 가운데 83개 계정의 정산금 지급 계좌를 해커 명의 계좌로 변경한 것으로 확인됐다.

이로 인해 지급되지 않은 정산금 규모는 600만 달러(약 86억 원)에 달했다.

알리익스프레스는 미지급된 정산금에 지연 이자를 더해 판매자들에게 지급했으며, 판매자들이 금전적 손실을 입지 않도록 조치했다고 신고서에 밝혔다.

다만 회사는 일부 판매자로부터 정산금 미지급 문의를 받기 전까지 내부 시스템에서 별다른 이상 징후를 인지하지 못한 것으로 나타났다.

알리익스프레스는 사고 확인 이후 해커가 악용한 OTP 시스템을 개선하고, 정산금 계좌 변경 시 추가 재검증 절차를 도입하는 등 보안 조치를 강화했다고 설명했다.

그러나 과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스는 당시 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 인증을 받지 않은 상태였던 것으로 확인돼 보안 관리 부실 논란이 제기되고 있다.

이에 대해 알리익스프레스코리아는 “지난해 6월 자발적 신청 자격으로 ISMS 인증 신청서를 제출했고, 현장 심사까지 완료됐다”며 “조만간 한국인터넷진흥원 인증위원회에 심사 보고서가 제출될 예정”이라고 밝혔다.