중국 이커머스 업체 알리익스프레스코리아의 판매자 계정이 해킹돼 80억원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 확인됐다. 대규모 금전 피해로 이어질 수 있었던 사고였지만, 회사가 이상 징후를 사전에 포착하지 못한 점에서 보안 관리 부실 논란이 제기된다.

20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 확보한 알리익스프레스코리아 침해사고 신고서에 따르면, 회사는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP)의 취약점을 악용했다. 이를 통해 107개 비즈니스 계정의 비밀번호를 재설정했고, 이 가운데 83개 계정의 정산금 수령 계좌를 해커 본인 명의 계좌로 변경한 것으로 드러났다. 이로 인해 지급되지 않은 정산금은 600만 달러, 한화로 약 86억원에 달했다.

알리익스프레스코리아는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했으며, 결과적으로 판매자들이 금전적 손실을 입지 않도록 조치했다고 보고했다. 다만 신고서에 따르면 회사는 일부 판매자로부터 정산금 미지급 문의를 받기 전까지 시스템 이상 징후를 인지하지 못했던 것으로 나타났다.

사고 확인 이후 알리익스프레스는 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보 변경에 대한 추가 재검증 절차를 강화했다고 밝혔다. 그러나 대규모 거래가 이뤄지는 이커머스 플랫폼에서 기본적인 보안 취약점이 방치됐다는 비판은 피하기 어렵다는 지적이 나온다.

문제는 정보보호 체계다. 과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리익스프레스코리아는 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 인증을 모두 받지 않은 상태였다. 과기부는 “알리익스프레스코리아의 공식 재무제표가 전자공시시스템 등에 공개되지 않아 ISMS 인증 의무 대상 여부를 사업자가 직접 확인해야 하는 상황”이라며 “의무 대상자일 가능성을 통지하고, 해당될 경우 인증을 받도록 안내할 예정”이라고 설명했다.

이번 사고는 국내에서 영업하는 글로벌 이커머스 플랫폼의 보안 책임과 관리 감독의 사각지대를 드러냈다는 평가다. 단순한 사후 보상에 그칠 것이 아니라, 셀러와 소비자 신뢰를 지키기 위한 선제적 보안 투자와 제도적 관리 강화가 필요하다는 지적이 나온다.

내일의 세상을 바꾼다 <오픈타임즈>는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '오픈타임즈' 검색
▶이메일: opentimenews@gmail.com
▶뉴스 제보: https://www.opentimes.kr