최근 이커머스 업계에 충격적인 소식이 전해졌습니다. 가성비로 국내 시장을 공략 중인 ‘알리익스프레스(AliExpress)’에서 판매자 계정이 대거 해킹되어 무려 86억 원대에 달하는 정산금이 증발할 뻔한 사고가 발생했다는 내용입니다.
알리 해킹
이번 사고는 일반 소비자가 아닌 ‘판매자(비즈니스) 계정’을 겨냥했습니다. 해커들은 비밀번호 복구 시 사용되는 일회용 비밀번호(OTP)의 취약점을 악용하는 치밀한 수법을 썼습니다.
알려진 알리 익스프레스 해킹은 총 107개의 판매자 계정이 해킹되었는데요. 취약점을 이용해 비밀번호를 재설정한 뒤, 정산금을 받을 계좌를 해커 자신의 계좌로 바꿔치기 한 뒤 정산해 갔습니다.
알리 해킹 피해 규모는 86억 원이나 됩니다. 현재까지 알려진 것으로 총 600만 달러(한화 약 86억 원)에 달하는데요. 이로 인해 실제 판매자들에게 지급되어야 할 정산금이 하루가량 지연되는 사태가 벌어졌습니다. 알리 측은 판매자들로부터 “돈이 안 들어온다”는 연락을 받기 전까지 이 사실을 인지하지 못한 것으로 알려져 보안 모니터링 체계에 허점을 드러냈습니다.
사고 직후 알리익스프레스는 다음과 같이 조치했다고 밝혔습니다. 미지급된 정산금은 지연 이자와 추가 보상금을 더해 판매자들에게 모두 지급되었습니다.
그리고 알리는 정산 및 출금 시스템의 보안 기준을 상향하고 모니터링 체계를 강화했다고 하는데요. 그리고 최근 경찰에서도 이 사건에 대한 내사(입건 전 조사)에 착수하며 본격적인 수사가 진행 중입니다.
이번 사건으로 알리의 보안 시스템에 대한 신뢰도가 도마 위에 올랐습니다. 특히 알리는 국내 정보보호관리체계(ISMS) 인증을 아직 받지 않은 상태인 것으로 확인되어, 거대 플랫폼에 걸맞은 보안 투자가 시급하다는 지적이 나오고 있습니다.
판매자분들은 플랫폼의 보안만 믿기보다, 주기적으로 비밀번호를 변경하고 정산 계좌 정보를 수시로 확인하는 습관이 필요합니다. 소비자 입장에서도 내가 이용하는 플랫폼이 얼마나 안전하게 운영되는지 지속적으로 관심을 가질 필요가 있겠네요.
거기다가 알리의 경우 중국 쇼핑몰이다보니 우리의 개인정보가 어디까지 해킹되었는지 궁금한데요. 알리의 경우에도 명확하게 보안대책을 가져야할 것 같습니다.