[더파워 이경호 기자] 중국계 이커머스 알리익스프레스에서 한국 판매자 정산금 86억원이 해커에 가로채이는 사고가 발생하고도 수사기관 신고 없이 넘어간 것으로 드러났다.
19일 이해민 조국혁신당 의원이 확보한 ‘알리익스프레스 침해사고 신고서’에 따르면 알리익스프레스는 지난해 10월 한국 판매자 계좌 정보가 해킹돼 600만달러(약86억원) 상당 정산금이 빠져나간 사실을 확인하고도 경찰에 알리지 않은 채 한국인터넷진흥원 신고서에만 ‘경찰 신고를 했다’고 기재한 것으로 나타났다.
알리는 지난해 10월16일 한 한국인 셀러로부터 “정산금이 지급되지 않았다”는 연락을 받고 내부 조사를 진행했다. 알리의 정산금 지급일은 매달 15일이다. 점검 결과 ‘알리익스프레스 코리아 셀러 센터’에서 총 107개 판매자 계정의 비밀번호가 재설정돼 있었고, 이 가운데 83개 계정의 정산 계좌번호가 해커에 의해 변경된 사실이 확인됐다.
해커는 이렇게 바뀐 계좌로 83개 셀러에게 지급돼야 할 600만달러를 빼돌린 것으로 파악됐다. 알리는 피해 정황을 인지한 뒤 같은달 20일 가산 지연이자를 포함해 해당 셀러들에게 정산금을 전액 다시 지급한 것으로 전해졌다.
알리 측은 “이번 사안으로 발생한 재정적 손실은 알리가 전액 부담해 셀러에게는 실질적인 자금 손실이 발생하지 않았다”며 “고객 데이터는 안전하며 이번 사안으로 개인정보가 유출되거나 침해된 사실은 없는 것으로 확인됐다”고 밝혔다.
그러나 알리는 10월24일 한국인터넷진흥원에 제출한 침해사고 신고서의 ‘경찰 신고 여부’ 항목에 ‘예’라고 표시했지만 실제로는 수사기관에 신고하지 않은 것으로 드러났다. 알리 측은 신고서 제출 후 경찰에 알릴 예정이었으나 “경찰 신고가 의무가 아니라는 안내를 받아 별도 신고를 하지 않았다”는 취지로 해명했다.
이와 대조적으로 국내 이커머스 기업 쿠팡은 개인정보 유출 사고 이후 관계 당국의 전방위 점검과 제재를 받고 있다. 개인정보보호위원회는 지난해 11월 배달원·주문자 등 약16만명의 개인정보를 유출한 쿠팡에 15억8865만원의 과징금과 과태료를 부과했고, 지난달 3000만건이 넘는 추가 유출 사태가 불거진 뒤 정부는 쿠팡 등을 계기로 정보보호관리체계(ISMS)·정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 사후관리를 강화하고, 유출 사고 발생 시 인증을 취소하는 방안까지 추진하고 있다.
이해민 조국혁신당 의원은 “이번 사고는 알리가 우리 국민과 소상공인을 보호할 최소한의 안전장치도 없이 장사했다는 뜻과 다름없다”며 “86억원이라는 실제 금전 피해가 발생한 중대한 사안에 대해 경찰에 신고도 안 해놓고 신고했다고 허위 보고까지 했다”고 비판했다. 이어 “알리가 정보보호관리체계(ISMS) 인증을 받고 재발 방지에 나설 수 있도록 관련 부처의 관리·감독이 필요하다”고 강조했다.
이경호 더파워 기자 lkh@thepowernews.co.kr
이미지 확대보기
