[대한경제=오진주 기자] 알리익스프레스(알리)의 셀러(판매자) 계정이 해킹돼 80억원대의 미지급 정산금이 발생한 것으로 알려졌다.

20일 조국혁신당의 이해민 의원이 한국인터넷진흥원(KISA)으로부터 받은 알리익스프레스코리아 침해사고 신고서에 따르면, 알리는 지난해 10월 판매자들이 이용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지해 내부 조사를 실시했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP)의 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정하고, 이 가운데 83개 게정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 전해졌다. 이로 인해 지급되지 않은 정산금은 600만달러(약 86억원)에 달한다.

이 과정에서 알리가 KISA에 허위 정보를 제출했다는 의혹도 제기됐다. 이 의원 측은 "알리는 해킹 보고 과정에서 경찰에 신고했다고 표시하고는 실제 수사기관에 피해 사실을 알리지 않았다"며 "자료를 요구하고 들여다보자 그제야 경찰 신고도 되지 않았던 걸 KISA가 뒤늦게 발견하고 자체조사 보고서를 요청했다"고 설명했다.

이에 알리는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급, 판매자들이 금전적인 손실을 입지 않도록 보장했다고 보고했다. 알리는 또 사고 확인 후 해커가 사용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 밝혔다.

이 의원은 "이번 사고는 알리가 우리 국민과 소상공인을 보호할 최소한의 안전장치도 없이 장사했다는 뜻과 다름없다"며 "알리가 정보보호관리체계(ISMS) 인증을 받고, 재발을 방지하도록 관련 부처의 관리감독이 필요하다"고 말했다.

이에 대해 알리익스프레스 측은 "알리익스프레스코리아는 지난해 6월 자발적 신청자 자격으로 ISMS 인증 신청서를 공식 제출했다"며 "현장 심사와 관련 활동은 이미 완료됐으며, 조만간 KISA 인증위원회에 심사 보고서가 제출될 예정"이라고 설명했다.

오진주 기자 ohpearl@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉