2025.10.?? 알리코리아 판매자 계좌 해킹 요약

1. 개요

• 2025년 10월, 알리코리아 셀러센터를 이용하던 국내 판매자 일부의 계정이 해킹되어 정산 대금이 제3자 계좌로 송금되도록 변경되는 사고가 발생하였습니다.
• 한 국내 판매자가 정산 예정일(매월 15일)에 입금이 되지 않은 것을 문제 제기하면서 내부 조사로 사고가 공식 확인되었습니다.
• 알리는 이를 “정산 프로세스 일부를 겨냥한 외부 침입 시도”로 규정하고, 한국인터넷진흥원(KISA) 등 관계기관에 신고 및 통보를 완료했다고 설명하였습니다.

 

2. 피해 범위

• 내부 보안 incident 보고서에 따르면, 총 107개 한국 판매자 계정의 비밀번호가 리셋된 정황이 확인되었습니다.
• 이 중 83개 계정의 정산용 은행 계좌 정보가 해커에 의해 변경되었으며, 그 결과 약 미화 600만 달러, 한화 약 86억 원 규모의 정산 대금 지급이 지연되었습니다.
• 금전 손실 자체는 알리가 부담해 판매자 실손은 발생하지 않았으나, 판매자 입장에서는 일정 기간 자금 회수 지연으로 운영 자금 유동성에 영향을 받았을 가능성이 있습니다.

 

3. 유출·변조 항목

• “알리코리아 셀러센터” 판매자 계정의 로그인 비밀번호가 107개 계정에서 리셋(변경)되었으며, 이는 계정 장악(계정 탈취)이 실제로 발생했음을 의미합니다.
• 83개 계정에서는 판매자의 정산 계좌 정보(은행 계좌번호 등) 가 공격자가 지정한 계좌로 변경되었습니다.
• 보도된 내용상 소비자 개인정보나 상세 매출 데이터의 대량 유출 정황은 명시되지 않았고, 주된 공격 대상은 정산 계좌 정보 및 계정 접근 권한으로 파악됩니다.

 

4. 원인(추정)

• 알리는 공식적으로 “정산 프로세스 일부를 겨냥한 외부 침입”이라고만 설명하며, 구체적인 침투 경로나 취약점 유형(XSS, 인증 우회 등)은 공개하지 않았습니다.
• 과거 알리익스프레스에서는 XSS 취약점과 세션 탈취를 통한 판매자 계정 장악 가능성이 제기된 바 있어, 웹 애플리케이션 레벨 취약점이나 계정/세션 관리 취약성이 연관되었을 가능성이 있습니다.
• 동시에, 일부 계정은 취약한 비밀번호 사용, 타 사이트 유출 비밀번호 재사용 등 판매자 측 계정 관리 미흡이 공격 성공률을 높였을 가능성도 배제하기 어렵습니다.

 

5. 대응

• 알리는 사고 인지 직후 관계기관(KISA 등)에 신고 및 통보를 진행하고, 관련 계정들에 대한 보안 점검과 정산 시스템 조치를 수행했다고 밝혔습니다.
• 10월 20일까지 모든 지연 정산 금액을 판매자들에게 재지급하고, 10월 27일에는 지연 이자의 두 배에 해당하는 추가 보상까지 지급하여 금전적 손실은 전액 알리가 부담하였습니다.
• 공식 입장에서는 보안 모니터링 강화, 정산 프로세스 보호 조치 강화 등의 조치를 언급했으나, 구체적인 기술적 개선 내용(예: 강제 2FA, 로그인 이상 징후 탐지 고도화 등)은 공개되지 않았습니다.

 

6. 문제점 및 시사점

• 판매자 계정 비밀번호 리셋과 정산 계좌 변경이 100개 단위로 발생했음에도, 정산일 이전에 이상 징후를 탐지·차단하지 못한 점에서 정산 프로세스 및 계정 이상행위 탐지 체계에 구조적 취약점이 드러났습니다.
• 사고 발생 후에야 국회의원 자료 요청과 언론 보도로 뒤늦게 알려진 점은, 글로벌 플랫폼의 보안 사고 공지·투명성 수준과 국내 판매자 보호 관행에 대한 신뢰도 문제를 야기할 수 있습니다.
• 기술적으로는 판매자 계정에 대한 강제 다단계 인증(2FA), 정산 계좌 변경 시 고강도 추가 인증 및 홀딩 기간 적용, 비정상 로그인·계좌 변경에 대한 실시간 탐지·차단 체계가 필수적임에도, 해당 영역이 미흡했다는 점이 이번 사건에서 뚜렷하게 드러난 부분이라 할 수 있습니다.
• 알리는 KISA에 제출한 침해사고 신고서의 ‘경찰 신고 여부’ 항목에 ‘예’로 표시했지만, 실제로는 수사기관(경찰)에 정식 신고를 하지 않은 것으로 드러났습니다.
• 이 때문에 KISA는 경찰 조사 결과를 전제로 추가 사실관계를 파악하려다, 뒤늦게 ‘경찰 신고 자체가 없었다’는 사실을 알게 되어 자체 조사에 차질을 빚었습니다.
• 알리 측은 “용의자 특정이 어려워 신고 실효성이 낮고, 경찰 신고는 법적 의무가 아니라서 하지 않았다”고 해명했지만, KISA 신고서에 허위에 해당하는 내용을 기재했다는 점에서 신고 의무를 성실히 이행하지 않은 것 아니냐는 비판을 받고 있습니다.
• 실제 금전 피해(약 86억 원)가 발생한 중대한 해킹 사건임에도 경찰 수사를 통한 범죄자 추적·재발 방지 노력이 부족했다는 점이 구조적인 거버넌스 문제로 지적됩니다.
• 국회 및 전문가들은 “경찰에 신고도 하지 않고, KISA에는 신고했다고 허위 보고한 점”을 들어, 국내 판매자 보호 의지가 부족하고, 정보보호관리체계(ISMS) 수준의 내부 통제·사고 대응 체계를 갖추지 못한 상태에서 영업을 해온 것 아니냐는 비판을 제기하고 있습니다.
  ​
  ​