[아이뉴스24 송대성 기자] 이커머스 플랫폼 알리익스프레스코리아에서 판매자(셀러) 계정 해킹 사고가 발생, 80억원이 넘는 정산금 지급이 지연된 사실이 뒤늦게 드러났다. 회사가 일부 판매자의 문제 제기 이전까지 내부 시스템 이상을 인지하지 못했던 것으로 드러나면서 글로벌 플랫폼의 보안 관리 체계가 허술하다는 비판이 제기되고 있다.
![알리익스프레스 CI. [사진=알리익스프레스]](https://image.inews24.com/v1/16d47290dcc525.jpg)
20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 확보한 알리익스프레스코리아 침해사고 신고서에 따르면 알리익스프레스는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에 대해 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다.
조사 결과 해커가 계정 비밀번호 복구 과정에 사용되는 일회용 비밀번호(OTP) 프로세스의 취약점을 실제로 악용한 것으로 나타났다. 해커는 이 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정했고, 이 가운데 83개 계정의 정산금 수령 계좌를 자신의 계좌로 변경했다. 이로 인해 셀러에게 지급돼야 할 정산금 600만달러(약 86억원)가 제때 지급되지 않았다.
알리익스프레스는 정산금 미지급 사실을 확인한 뒤 해당 금액 전액에 가산 지연이자를 포함해 판매자들에게 지급했으며, 결과적으로 셀러들이 금전적 손실을 입지 않도록 조치했다고 밝혔다.
문제는 사고 인지 시점이다. 신고서에 따르면 알리익스프레스는 일부 판매자로부터 정산금이 지급되지 않았다는 연락을 받기 전까지 시스템상 이상 징후를 자체적으로 파악하지 못했다. 외부 문제 제기가 있기 전까지 해킹 사실을 인지하지 못했다는 점에서 정산 시스템과 계정 변경에 대한 상시 모니터링과 내부 통제 장치가 충분히 작동하지 않았다는 지적이 나온다.
알리익스프레스는 사고 확인 이후 해커가 악용한 OTP 인증 절차를 수정하고 정산금 계좌 변경 시 추가 재검증 절차를 도입했다고 밝혔다. 또 일정 기간 계좌 변경 기능을 제한하고 모든 셀러 계정을 대상으로 로그아웃 및 비밀번호 변경을 안내하는 등 긴급 대응 조치를 시행했다. 이와 함께 정산 프로세스의 정보 보안 민감도 기준을 상향하고 이상 징후 탐지 체계를 고도화하는 등 재발 방지 대책도 추진 중이라고 설명했다.
과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 정보보호 인증도 받지 않은 것으로 나타났다.
알리익스프레스코리아는 이에 대해 "작년 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했으며 현장 심사 등이 완료됐고 조만간 한국인터넷진흥원 인증위원회에 심사 보고서가 제출될 예정"이라고 밝혔다.
그러면서 "관계 법령을 준수하고 한국인터넷진흥원의 가이드에 따라 본 사안에 지속적으로 대응해 나갈 것"이라며 "국내 판매자분들께서 안심하고 플랫폼을 이용하실 수 있도록 시스템 안정성과 예방 체계를 지속적으로 강화하고 있다"고 전했다.
/송대성 기자(snowball@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기