AliExpressで2025年10月、セラーポータルを狙った大規模な不正アクセスが発生し、精算金約86億ウォンが流出していたことが明らかになった。パスワード再設定用OTP手続きの不備が悪用され、107アカウントが被害を受けた。AliExpress側は個人情報や消費者情報の流出を否定する一方、事後対応を巡っては報告内容に関する問題も浮上している。
イ・ヘミン議員室によると、不正アクセスは2025年10月16日から23日にかけて発生した。攻撃者はセラーポータルのパスワード再設定用OTP手続きを悪用し、セラー107アカウントに不正にアクセスした。
このうち83アカウントでは精算口座が変更され、計600万ドル(約86億ウォン)が流出した。
AliExpress Koreaは「2025年10月に内部モニタリングを通じて不正アクセスを把握し、直ちに遮断した」と説明した。また、「顧客の個人情報や消費者情報の流出はなかった」としている。
同社は補償対応も進めた。精算遅延の影響を受けたセラーに対しては、10月20日までに精算金の全額を支給したという。遅延利息についても、適用金利の2倍に当たる額を上乗せ補償し、実質的な金銭被害が生じないよう措置したとしている。あわせて、二段階認証(2FA)の強化やセキュリティ監視体制の高度化も実施したと説明した。
一方で、報告手続きを巡る問題も残る。AliExpressは韓国インターネット振興院(KISA)への申告書で、「警察への通報の有無」を「有」と記載していたが、実際には捜査機関への届け出は行われていなかったことが確認された。これに対しAliExpress側は、「警察への申告は義務事項ではないと判断した」と釈明している。
AliExpressと合弁会社を設立したGmarketは、データ管理体制は完全に分離されており、今回の事故とは無関係だと説明した。
Seulgi Son (손슬기)
sageson@d-today.co.kr