중국계 이커머스 플랫폼 알리익스프레스코리아의 판매자 계정이 해킹돼 80억원이 넘는 정산금이 제때 지급되지 않은 사실이 뒤늦게 드러났다. 

20일 조국혁신당 이해민 의원이 한국인터넷진흥원으로부터 확보한 침해사고 신고서에 따르면, 알리익스프레스코리아는 지난해 10월 판매자용 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 진행했다. 

조사 결과 해커는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정했고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 변경했다. 이로 인해 지급이 지연된 정산금은 600만 달러(약 86억원) 규모로 파악됐다.

[미니해설] 

알리익스프레스코리아 판매자 계정 해킹 사건은 국내 이커머스 플랫폼의 보안 체계와 해외 사업자의 정보보호 책임을 다시 한 번 부각시키는 사례로 평가된다. 이번 사고의 핵심은 판매자들이 사용하는 비즈니스 포털의 계정 복구 과정에서 발생한 OTP 인증 취약점이다. 해커는 이를 악용해 다수의 계정 비밀번호를 재설정한 뒤 정산금이 입금되는 계좌 정보를 자신이 통제하는 계좌로 변경했다.

침해사고 신고서에 따르면 해커는 총 107개 비즈니스 계정에 접근했으며, 이 가운데 83개 계정에서 실제로 정산금 계좌 변경이 이뤄졌다. 그 결과 판매자들에게 지급되지 못한 정산금은 600만 달러에 달했다. 다만 알리익스프레스코리아는 미지급된 정산금 전액에 지연이자를 가산해 지급했으며, 판매자들이 금전적 손실을 입지 않도록 보장했다고 당국에 보고했다.

문제는 사고 인지 과정이다. 신고서에 따르면 알리익스프레스코리아는 일부 판매자들로부터 “정산금이 입금되지 않았다”는 문의를 받기 전까지 시스템 이상 징후를 인지하지 못한 것으로 나타났다. 내부 모니터링만으로는 계좌 변경이나 비정상 접근을 조기에 탐지하지 못했다는 의미다. 결과적으로 사고 인지와 대응이 사후적으로 이뤄졌다는 점에서 보안 관리의 허점이 드러났다는 지적이 나온다.

사고가 확인된 이후 알리익스프레스코리아는 해커가 악용한 OTP 시스템을 수정하고, 정산금 계좌 정보 변경 시 추가 재검증 절차를 활성화하는 등 보완 조치를 취했다고 밝혔다. 그러나 이러한 조치가 사전에 마련되지 않았다는 점에서 플랫폼의 기본적인 보안 설계가 충분했는지에 대한 의문은 여전히 남는다.

더 큰 논란은 정보보호 인증 문제다. 과학기술정보통신부가 의원실에 제출한 자료에 따르면, 알리익스프레스코리아는 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 인증을 모두 받지 않은 상태였다. ISMS 인증은 일정 규모 이상의 정보통신서비스 제공자에게 의무화돼 있으며, 인증 여부는 기업의 보안 관리 수준을 가늠하는 핵심 지표로 활용된다.

과기정통부는 알리익스프레스코리아의 공식 재무제표가 전자공시시스템 등에 공개돼 있지 않아, 현 시점에서 ISMS 인증 의무 대상인지 여부를 즉시 판단하기 어렵다는 입장이다. 이에 따라 정부는 해당 사업자에게 'ISMS 인증 의무 대상자일 수 있음'을 통지하고, 요건에 해당할 경우 인증을 취득하도록 안내할 계획이다.

이번 사건은 국내 판매자들이 해외 플랫폼에 의존하는 구조 속에서 발생할 수 있는 위험을 단적으로 보여준다. 판매자 입장에서는 정산 지연 자체보다도, 계좌 정보 변경과 같은 핵심 금융 정보가 외부 공격에 노출될 수 있다는 점이 더 큰 불안 요인으로 작용한다. 특히 대규모 정산금이 오가는 이커머스 환경에서 보안 사고는 플랫폼 신뢰도와 직결된다.

전문가들은 글로벌 이커머스 기업일수록 국내 법·제도에 부합하는 보안 인증과 상시 모니터링 체계를 갖춰야 한다고 지적했다. 단순히 사고 이후 피해를 보전하는 것만으로는 충분하지 않으며, 침해 가능성을 사전에 차단하는 예방 중심의 보안 전략이 필수라는 것이다. 

알리익스프레스코리아의 이번 해킹 사고가 국내 이커머스 시장 전반의 보안 기준을 재점검하는 계기가 될지 주목된다.