고객 개인정보는 유출 없어
[소셜밸류=한시은 기자] 중국 이커머스 업체인 알리익스프레스코리아의 판매자(셀러) 계정이 해킹돼 80억원이 넘는 정산금 지급이 하루가량 지연된 것으로 확인됐다.
20일 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아의 침해사고 신고서 등에 따르면 회사는 지난해 10월 판매자들이 이용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 확인했다.
 |
| ▲ 알리익스프레스 BI/사진=알리익스프레스 제공 |
조사 결과 해커는 셀러의 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 프로세스의 취약점을 악용해 107개 비즈니스 계정의 비밀번호를 재설정했다. 이 중 83개 셀러의 정산 계좌 정보가 해커의 계좌로 불법적으로 변경한 것으로 나타났다. 이로 인해 지급되지 않은 정산금은 600만달러(약 86억원)이다.
신고서에 따르면 알리익스프레스는 일부 판매자로부터 정산금이 미지급됐다는 연락을 받기 전까지 이상징후를 확인하지 못했다. 현재는 사실 확인과 동시에 관계 당국(KISA)에 신고하고, 미지급 정산금에 지연이자를 더해 셀러들에게 지급한 상태다.
알리익스프레스 측은 “이번 사안은 정산 프로세스 일부를 대상으로 한 외부 침입 시도로 파악됐고, 고객 개인정보나 소비자 정보에 대한 접근 또는 유출은 발생하지 않은 것으로 확인됐다”며 “정산 지연으로 인한 이자 손실에 대해서는 적용 이자율 2배에 해당하는 추가 보상까지 지급했다. 현재 모든 정산 및 출근 절차는 정상적으로 운영되고 있다”고 해명했다.
또 “정산 및 출금 프로세스 전 구간에 대한 정보 보안 민감도 기준 상향 적용 및 모니터링 체계 강화했다”며 “글로벌 보안 위협 인텔리전스를 상시 모니터링하고 최신 공격 기법 분석 및 정기적인 종합 취약점 점검을 실시했다”고 밝혔다.
한편 알리익스프레스는 지난해 정보보호관리체계(ISMS) 인증을 신청했고, 현장 심사 및 관련 활동이 완료됐다는 입장이다. 가까운 시일 내 KISA 인증위원회에 심사 보고서가 제출될 예정이라고 밝혔다.
[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]
