중국 이커머스 업체 ‘알리익스프레스코리아’의 판매자(셀러) 계정이 해킹된 사건과 관련해 입건 전 조사(내사)를 벌이던 경찰이 최근 정식 수사로 전환한 것으로 확인됐다.

24일 헤럴드경제 취재를 종합하면 인천경찰청 사이버범죄수사대는 지난달 20일 내사에 착수했던 알리익스프레스코리아 해킹 사건을 이달 정식 수사로 전환했다.

내사 단계가 정식 수사 단계로 전환되는 때는 피의자 특정 여부가 아니라 범죄 혐의가 객관적으로 구체화하고 수사의 필요성이 인정될 때다. 즉 성명불상자라도 피의자로 입건할 수 있다는 뜻이다.

경찰은 현재 성명불상자를 피의자로 입건하고 정보통신망법 위반(정보통신망 침해 등) 혐의와 컴퓨터 등 사용사기 혐의로 수사를 이어가고 있다. 피해 회사인 알리익스프레스코리아 측 진술과 증거자료 등도 확보했다.

앞서 경찰은 이번 사건에 대한 고소·고발장이 접수되지 않은 상태에서 언론 보도 등을 통해 관련 내용을 접하고 내사에 착수했다. 이후 실제 해킹 피해 여부와 해커의 구체적인 침입 방법 등 전반적인 내용에 관한 확인에 나섰다.

조국혁신당 이해민 의원이 지난달 한국인터넷진흥원(KISA)으로부터 확보한 알리익스프레스 침해사고 신고서에 따르면, 알리익스프레스코리아는 지난해 10월 판매자(셀러) 계좌 정보를 해킹당했다. 이에 판매자들에게 지급해야 할 정산금 86억원이 지급되지 않았다.

알리익스프레스코리아 측이 같은 해 10월 16일부터 23일까지 내부적으로 조사한 결과, 해커는 포털 비즈니스 계정 비밀번호 복구에 사용되는 일회용 비밀번호(OTP) 프로세스의 취약점을 이용해 107개의 판매자 비즈니스 계정의 비밀번호를 재설정하고 이 중 83개 계정의 정산금 계좌를 해커 자신의 계좌로 새로 등록한 것으로 나타났다.

알리익스프레스코리아는 해킹 피해 직후 OTP인증 프로세스의 기술적 취약점을 즉각적으로 수정했다고 밝혔다. 또 미지급 정산금에 가산 지연이자를 더해 판매자들에게 지급했으며 판매자들이 어떠한 금전적 손실도 입지 않도록 보장했다고 했다.

한편 이 의원이 과학기술정보통신부로부터 회신받은 별도 자료에 따르면 알리익스프레스는 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 등 정보보호 인증을 받지 않은 것으로 나타났다.

과기정통부는 “사업자에게 ISMS인증 의무대상자일 수 있음을 통지해 의무대상 요건 해당여부를 파악하고 의무대상자일 경우 인증을 받도록 안내할 예정”이라고 밝혔다. 이용경 기자