쿠팡 3천만 명 정보 유출 여파… 알리익스프레스 ‘정산금 탈취’ 사건
해커, 셀러 계정 OTP 취약점 노려 86억 가로채… 알리 “전액 보상”
경찰 신고도 안 해 ‘늑장 대응’ 논란… “이커머스 보안 불감증” 비판 확산
“내 개인정보가 털린 쿠팡 사태의 악몽이 채 가시기도 전에, 이번엔 판매 대금이 증발했다니 믿을 수가 없습니다.”
국내 이커머스 업계가 연이은 보안 사고로 휘청이고 있다.
지난 연말 전 국민의 개인정보가 털린 ‘쿠팡 사태’의 충격이 가라앉기도 전에, 이번엔 중국계 이커머스 강자 알리익스프레스(알리)에서 판매자(셀러) 정산금이 탈취되는 해킹 사건이 발생했다.
“비밀번호 바꾸고 돈 빼갔다”… 86억 증발 사건의 전말
20일 업계와 국회 과학기술정보방송통신위원회 이해민 의원실에 따르면, 지난해 10월 알리익스프레스 코리아 셀러 센터에서 해킹 사고가 발생해 약 86억 원(600만 달러)의 정산금이 해커의 손에 넘어갔다.
수법은 대담했다. 해커는 셀러 계정의 비밀번호를 재설정하는 과정에서 OTP(일회용 비밀번호) 인증 시스템의 허점을 파고들었다.
셀러 107명의 계정을 탈취한 뒤, 이 중 83개 계정의 정산 계좌를 자신의 대포 통장으로 바꿔치기해 돈을 가로챘다. 개인정보 유출에 그쳤던 기존 사고들과 달리, 이번엔 ‘실제 현금’을 노린 범죄였다는 점에서 충격을 주고 있다.
쿠팡 이어 알리까지… ‘보안 구멍’ 숭숭 뚫린 이커머스
이번 사건은 최근 이커머스 업계 전반에 퍼진 ‘보안 불감증’을 적나라하게 보여준다.
불과 두 달 전, 국내 1위 이커머스 쿠팡에서 회원 3,300만 명의 개인정보가 유출되는 사상 초유의 사태가 발생했다.
당시 ‘크리덴셜 스터핑(Credential Stuffing)’ 수법에 속수무책으로 당하며 보안 시스템의 취약성이 도마 위에 올랐는데, 이번엔 글로벌 기업인 알리마저 기본적인 인증 절차인 OTP가 뚫리며 체면을 구겼다.
특히 알리익스프레스 코리아는 국내 정보보호 관리체계(ISMS) 인증조차 받지 않은 상태였던 것으로 드러나, “한국 소비자와 판매자를 상대로 돈만 벌고 보안 투자는 뒷전”이라는 비판을 피하기 어렵게 됐다.
“경찰 신고도 안 했다”… 은폐 의혹까지 ‘일파만파’
알리의 사후 대응도 도마 위에 올랐다. 알리 측은 사고 직후 피해 셀러들에게 정산금을 지급하고, 지연 이자까지 2배로 쳐서 보상하며 급한 불은 껐다.
하지만 사고 발생 후 한국인터넷진흥원(KISA)에 신고는 했지만, 정작 경찰 수사 의뢰는 하지 않은 것으로 밝혀졌다.
알리 측은 “범인을 특정하기 어렵고 신고 의무가 없다”고 해명했지만, 업계에서는 “86억 원이라는 거액이 탈취됐는데 수사를 의뢰하지 않은 건 사건을 조용히 덮으려던 것 아니냐”는 의혹의 눈초리를 보내고 있다.
보안 전문가들은 “쿠팡과 알리 같은 거대 플랫폼이 연이어 뚫린 것은 이커머스 보안 시스템 전반에 구조적인 문제가 있다는 신호”라며 “단순 보상을 넘어 인증 체계 전면 개편과 정부 차원의 강력한 제재가 시급하다”고 지적했다.
