[일요신문] 중국 이커머스 업체인 알리익스프레스코리아(알리)의 입점 판매자(셀러) 계정이 해킹돼 86억 원의 정산금이 제때 지급되지 않았던 것으로 확인됐다.
서울 지하철 3호선 고속터미널역 승강장에 알리익스프레스 지하철 광고판이 설치돼 있다. 사진=최준필 기자19일 이해민 조국혁신당 의원이 한국인터넷진흥원으로부터 확보한 알리익스프레스코리아의 침해사고 신고서에 따르면 알리는 지난 2025년 10월 판매자들이 이용하는 비즈니스 온라인 포털(알리익스프레스 코리아 셀러 센터)에 대한 해커의 무단 접근 가능성을 인지하고 내부 조사를 벌였다.
조사 결과 해커는 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 취약점을 이용해 107개 비즈니스 계정의 비밀번호를 재설정하고, 이 가운데 83개 계정의 정산금 계좌를 자신의 계좌로 새로 등록한 것으로 나타났다.
해커는 83개 셀러에게 지급돼야 할 600만 달러(약 86억 원)을 가로챘다. 알리는 같은 달 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했다고 밝혔다.
알리는 사고 확인 후 해커가 이용한 OTP 시스템을 수정하고, 정산금 계좌 정보에 대한 추가 재검증 절차를 활성화했다고 덧붙였다.
