[뉴스토마토 이수정 기자] 중국 이커머스(전자상거래) 업체 알리익스프레스코리아의 판매자 계정이 해킹돼 정산금 약 86억원 지급이 지연됐었던 것으로 뒤늦게 알려졌습니다.
20일 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)으로부터 확보한 알리익스프레스코리아의 침해 사고 신고서에 따르면 회사는 지난해 10월 내부 모니터링을 통해 셀러 센터 내 107개 셀러 계정에 대해 제3자의 비인가 접근 정황이 확인됐습니다.
조사 결과 해커는 셀러의 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 프로세스의 취약점을 악용, 자신의 이메일 주소를 사용해 피해 계정의 비밀번호를 재설정했습니다. 이 중 83개 셀러 계정의 경우 해커가 플랫폼 정산금을 가로챌 목적으로 자신의 계좌를 새로 등록하면서, 해당 계좌에 600만달러(86억원)의 정산금이 입금됐습니다.
알리익스프레스는 사실 확인과 동시에 관계 당국(KISA)에 신고하고, 미지급 정산금에 지연 이자를 더해 셀러들에게 지급했습니다. 알리익스프레스 관계자는 "모든 정산금은 전액 지급 완료됐으며, 정산 지연으로 인한 이자 손실에 대해서는 적용 이자율 2배에 해당하는 추가 보상까지 지급했다"며 "현재 모든 정산 및 출근 절차는 정상적으로 운영되고 있다"고 말했습니다.
이어 "정산 및 출금 프로세스 전 구간에 대한 정보보안 민감도 기준 상향 적용 및 모니터링 체계를 강화했다"며 "글로벌 보안 위협 인텔리전스를 상시 모니터링하고 최신 공격 기법 분석 및 정기적인 종합 취약점 점검을 실시했다"고 했습니다.
과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스는 현재 정보보호관리체계(ISMS) 인증을 받지 않았다는 데 대해서는 "지난해 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했다"고 선을 그었습니다. 또한 "현장 심사 및 관련 활동은 이미 완료되었으며, 조만간 한국인터넷진흥원 인증위원회에 심사 보고서가 제출될 예정"이라고 말했습니다.
이수정 기자 lsj5986@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 강영관 산업2부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지