알리익스프레스코리아에서 판매자 계정이 해킹되면서 80억원이 넘는 정산금 지급이 제때 이뤄지지 않은 것으로 나타났다.
20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 확보한 알리의 침해사고 신고서에 따르면 알리는 지난해 10월 판매자들이 사용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다.
조사 결과, 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정한 것으로 알려졌다. 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 등록한 것으로 조사됐다.
이 때문에 지급 지연된 정산금은 600만 달러(약 88억6천380만원)다.
알리는 판매자들에게 미지급 정산금에 가산 지연이자를 더해 지급했으며 판매자들은 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다. 신고서에 따르면 알리는 알리는 일부 판매자들로부터 정산금이 미지급됐다는 연락을 받기 전까지 이상징후를 확인하지 못했다.
또 알리익스프레스는 사고 확인 후 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다.
관련기사
- 개인정보 유출 홍수...스미싱, 계정 도용 '2차 피해' 고리 끊는 법2025.12.25
- 개인정보 유출 용의자는 중국인?…쿠팡 사태 의혹 짚어보니2025.12.02
- 알리익스프레스, 20일부터 블랙프라이데이 할인 시작2025.11.19
- 알리익스프레스 11.11 광군제, 해외직구 인기 속 홈 라이프•셀프케어 카테고리 판매 강세2025.11.14
과학기술정보통신부가 의원실에 제출한 자료에서 알리는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMSP-S) 등 정보보호 인증도 받지 않은 것으로 드러났다. 이에 과기부는 회사에 ISMS 인증 의무 대상자일 수 있음을 통지하고, 의무대상자일 경우 인증을 받도록 안내한다는 방침이다.
알리 관계자는 "지난해 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했다"며 "현장 심사 및 관련 활동은 이미 완료됐고, 조만간 KISA 인증위원회에 심사 보고서가 제출될 예정"이라고 말했다.
