중국 이커머스 업체인 알리익스프레스코리아의 판매자(셀러) 계정이 해킹된 사건과 관련해 경찰이 내사에 착수했다.
인천경찰청 사이버범죄수사대는 26일 알리익스프레스 해킹 사건과 관련해 내사를 시작했다고 밝혔다. 경찰은 이번 사안과 관련한 고소·고발장이 접수되지는 않았으나, 언론보도 등을 통해 관련 내용을 접한 뒤 내사에 나서기로 했다. 경찰 관계자는 “실제 해킹 여부와 (해커의) 침입 방법 등 전반적인 내용을 확인할 예정”이라고 말했다.
지난 20일 조국혁신당 이해민 의원이 한국인터넷진흥원으로부터 확보한 침해사고 신고서에 따르면 지난해 10월 알리익스프레스의 판매자 계좌 정보가 해킹당하면서 판매자들에게 지급해야 할 정산금 86억원이 지급되지 않았다.
조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정하고, 이 중 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 나타났다.
알리익스프레스는 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했으며, 판매자들은 어떠한 금전적 손실도 입지 않도록 보장했다고 보고했다. 하지만 해킹과 관련해 일부 판매자들로부터 정산금 미지급 문의가 접수되기 전까지 별다른 이상 징후를 파악하지 못했던 것으로 나타났다.
사고를 인지한 직후 알리익스프레스는 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 밝혔다.