알리익스프레스, 셀러 계정 해킹으로 정산금 86억원 차질 … "개인정보 유출 없다"

알리익스프레스코리아(이하 알리)의 판매자(셀러) 계정이 해킹돼 86억원의 정산금이 지연된 사실이 뒤늦게 알려졌다. 이에 알리는 "외부 침입 시도로 파악됐으며 고객 개인정보 유출은 발생하지 않은 것으로 확인됐다"고 밝혔다.

20일 알리는 입장문을 통해 "지난해 10월 24일 내부 모니터링을 통해 알리 셀러 센터 내 107개 계정에 대해 제3자의 비인가 접근 정황을 확인했다"고 말했다.

이 중 83개 셀러의 정산 계좌가 불법적으로 변경돼 정산금 지급이 지연된 사실을 인지했다고 알리는 덧붙였다.

이날 20일 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아의 침해사고 신고서에 따르면 회사는 지난해 10월 판매자들이 이용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지해 내부 조사했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정하고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 나타났다.

신고서에 따르면 알리익스프레스는 일부 판매자로부터 정산금이 미지급됐다는 연락을 받기 전까지 이상징후를 확인하지 못했다.

알리는 "본 사안은 정산 프로세스 일부를 대상으로 한 외부 침입 시도로 파악되었으며, 고객 개인정보나 소비자 정보에 대한 접근 또는 유출은 발생하지 않은 것으로 확인됐다"고 강조했다.

알리는 사실확인과 동시에 관계 당국(KISA)에 즉각 신고하고, 공식 보고했다고 설명했다.

이어 "알리는 관계 법령을 준수하고 한국인터넷진흥원(KISA)의 가이드에 따라 본 사안을 지속적으로 대응해 나갈 것"이라며 "이번 사안으로 인한 재정적 손실은 전액 부담해 영향을 받은 셀러들에게는 어떠한 실질적인 금전적 피해도 발생하지 않도록 하였다"고 강조했다.

알리에 따르면 모든 정산금은 10월 20일까지 전액 지급 완료됐으며, 정산 지연으로 인한 이자 손실에 대해서는 10월 27일, 적용 이자율의 2배에 해당하는 추가 보상까지 지급했다.

이어 "모든 정산 및 출금 절차는 정상적으로 운영되고 있으며, 본 사안은 완전히 해소된 상태"라고 말했다.

한편, 과학기술정보통신부가 의원실에 제출한 자료에 따르면 알리는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 정보보호 인증도 받지 않은 것으로 나타났다.

이와 관련해 알리는 "작년 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했으며 현장 심사 등이 완료됐고 조만간 한국인터넷진흥원(KISA) 인증위원회에 심사 보고서가 제출될 예정"이라고 밝혔다.