중국계 이커머스 알리익스프레스(알리)에서 지난해 10월 셀러(판매자) 정보가 해킹돼 수십억원 규모 정산금이 제대로 지급되지 않은 사고가 있었다. /알리익스프레스 홈페이지 갈무리

[더팩트ㅣ최의종 기자] 중국계 이커머스 알리익스프레스(알리)에서 지난해 10월 셀러(판매자) 정보가 해킹돼 수십억원 규모 정산금이 제대로 지급되지 않은 사고가 있었던 것으로 뒤늦게 파악됐다.

20일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 받은 '알리익스프레스 침해사고 신고서'에 따르면 알리는 지난해 10월 16일 싱가포르에서 호스팅되는 판매자 비즈니스 온라인 포털에 해커의 무단 접근 가능성을 인지했다.

해당 포털은 비즈니스 판매자가 로그인해 본인 기업 비즈니스 계정 정보를 볼 수 있도록 하는 포털이다. 알리는 같은 달 16일부터 23일까지 내부 조사를 벌였다. 조사 결과 해커는 포털 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 프로세스 취약점을 악용해 해킹했다.

해커는 플랫폼 정산금을 가로챌 목적으로 본인 정산금 계좌를 새로 등록한 것으로 알려졌다. 일부 셀러에게 정산이 이뤄지지 않은 점을 인지한 알리는 시스템 전반을 점검했고 보안팀으로부터 침해사고라고 확인받았다고 한다.

미지급 정산금은 600만달러(약 86억원)으로 전해졌으며, 알리는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했고, 판매자들은 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다.

한편 알리는 ISMS(정보보호관리체계) 등 정보보호 인증도 받지 않은 것으로 확인됐다. 과학기술정보통신부는 "알리익스프레스코리아 공식 재무제표가 전자공시시스템 등에 공개되지 않아 사업자가 직접 ISMS 인증 의무 대상인지 요건을 확인해야 하는 상황"이라고 말했다. 이어 "사업자에게 ISMS 인증 의무대상자일 수 있음을 통지해 의무대상자이면 인증받도록 안내할 예정"이라고 했다.

이와 관련해 알리익스프레스 코리아 측은 "2025년 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했다"며 "현장 심사 및 관련 활동은 이미 완료되었으며, 조만간 한국인터넷진흥원(KISA) 인증위원회에 심사 보고서가 제출될 예정"이라고 설명했다.

bell@tf.co.kr