쿠팡 정보유출 사태의 파장이 이어지는 가운데 중국 전자상거래(이커머스) 업체인 알리익스프레스코리아(알리)에서도 지난해 침해사고가 난 사실이 뒤늦게 알려졌다. 알리측은 피해보상이 모두 이뤄졌고 개인정보 유출은 없었다는 입장이다.

20일 조국혁신당 이해민 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 알리는 지난해 10월 판매자(셀러)들이 이용하는 비즈니스 온라인 포털에 대한 해커의 무단 접근 가능성을 인지해 내부 조사했다.

조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정하고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 나타났다.

해커가 이 방법으로 정산금을 가로챔에 따라 600만달러(약 86억원)가 지급되지 않았다.

이에 대해 알리는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했으며, 판매자들은 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다.

신고서에 따르면 알리는 일부 판매자로부터 정산금이 미지급됐다는 연락을 받기 전까지 이상징후를 확인하지 못했다.

알리는 사고 확인 후 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 밝혔다.

알리는 당시 사고 대응에 문제가 없었다며 발빠르게 대응하는 모습이다.

알리측은 “피해 셀러에 대한 보상과 후속 조치를 모두 완료했다” “고객 개인정보나 소비자 정보에 대한 접근 또는 유출은 발생하지 않은 것으로 확인됐다”고 선을 긋는 한편 유사사례 방지를 위해 △셀러 대상 개별 안내 및 전담 지원 △정산·출금 프로세스 정보보안 민감도 기준 상향적용 등을 실시하고 있다고 밝혔다.

그러나 당시 KISA 신고서에 경찰에 신고를 했다고 표시를 해놓고 실제론 신고하지 않은 점은 거짓 보고라는 지적이 나왔다. 이에 대해 알리는 경찰신고가 의무사항이 아니라는 점을 확인하고 신고치 않았다는 입장이다.

알리 관계자는 21일 “사실 확인과 동시에 KISA에 즉각 신고 및 공식 보고를 완료했으며, 관련 조사에도 적극 협조할 예정”이라며 “KISA의 가이드에 따라 본 사안을 지속적으로 대응해 나갈 것”이라고 말했다.

한편 과학기술정보통신부가 이 의원실에 제출한 자료에 따르면 알리익스프레스는 정보보호관리체계(ISMS)·개인정보보호관리체계(ISMS-P) 등 정보보호 인증을 받지 않은 것으로 나타났다.

알리측 관계자는 21일 “ISMS 인증 절차를 단계적으로 진행 중”이라며 “인증기관의 일정에 따라 진행되는 절차 및 요구사항에 적극 협조하고 있다”고 했다.

이해민 의원은 “침해사고 발생 기업의 자체 조사 결과를 정부가 검증하는 과정이 필요하다”고 지적했다.

이재걸 기자 claritas@naeil.com