알리익스프레스는 이번에 해커가 아니라 스스로에게 무하마드 알리급 핵주먹을 날렸다. 86억원 규모의 해킹 사고보다 더 치명적인 것은, 사고 이후 선택한 대응이었다. 플랫폼의 신뢰는 외부 공격이 아니라 내부 판단에서 무너졌다.

이번 사태의 본질은 보안 사고가 아니라 명백한 ‘대응 실패’다. 알리는 판매자 정산금 86억원이 탈취된 사실을 인지하고도 수사기관에 신고하지 않은 채, 한국인터넷진흥원(KISA)에 ‘경찰 신고 완료’라고 허위 기재했다. 이는 단순한 행정 착오가 아니라 공적 조사 절차를 전제로 한 신뢰를 훼손한 행위다.

피해를 전액 보전했다고 책임까지 면제되는 것은 아니다. 알리는 사고 발생 나흘 만에 피해 금액과 지연이자를 지급했다. 그러나 이는 ‘보상’일 뿐 ‘책임 이행’은 아니다. 해킹 원인과 보안 취약점, 관리 부실에 대한 투명한 설명 없이 금전 보전만 앞세운 대응은 문제의 핵심을 비껴간다.

기술적 정황은 단순 침입을 넘어 구조적 보안 붕괴를 시사한다. OTP 기반 인증 절차의 허술함, 판매자 계정 비밀번호의 대량 재설정, 정산 계좌 변경까지 이어진 흐름은 데이터베이스 접근 가능성을 배제하기 어렵게 한다. 그럼에도 알리는 외부 전문가 검증 없이 ‘개인정보 유출은 없다’는 주장만 반복했다.

더 심각한 문제는 기본적인 보안 관리 체계조차 갖추지 않았다는 점이다. 알리익스프레스코리아는 국내에서 대규모 전자상거래 영업을 하면서도 ISMS나 ISMS-P 인증을 받지 않았다. 최소한의 제도적 안전장치 없이 정산 시스템을 운영해왔다는 사실은 ‘깡통 보안’ 논란을 자초했다.

이 사건은 알리만의 문제가 아니라 플랫폼 협업 리스크를 드러낸다. 알리와 협업 중인 신세계그룹과 이마트는 직접적인 피해는 없다고 선을 긋고 있지만, 시장의 인식은 그렇게 단순하지 않다. 협업이 확대될수록 외부에서는 두 기업을 하나의 플랫폼 생태계로 인식한다.

법적 책임과 시장의 판단은 반드시 일치하지 않는다. 신세계와 G마켓, SSG닷컴이 이번 사고와 직접 연관이 없더라도, ‘정산 안정성’과 ‘계정 보안’에 대한 의구심은 연상 효과를 타고 확산된다. 이는 재무제표에 즉각 반영되지 않지만, 신뢰 관리와 커뮤니케이션 부담으로 누적되는 비용이다.

셀러 계정 해킹은 개인정보 유출 못지않게 치명적이다. 셀러 계정은 매출, 정산, 재고, 광고 운영까지 연결된 플랫폼의 핵심 축이다. 이 지점이 흔들리면 판매자들은 가격 경쟁력보다 플랫폼의 ‘안전성’을 먼저 따지게 된다.

국내 이커머스 시장은 이제 속도보다 구조를 묻고 있다. 글로벌 플랫폼과의 협업이 성장 전략이 되려면, 파트너의 보안 수준과 사고 대응 방식까지 관리 가능한 체계가 전제돼야 한다. 정기 보안 감사, 핵심 지표 공개, 사고 발생 시 공동 대응 프로토콜은 선택이 아니라 기본 요건이다.

86억원은 막았지만, 신뢰는 유출됐다. 알리 사태는 묻고 있다. 국내에서 영업하는 글로벌 플랫폼이 지켜야 할 최소한의 책임은 무엇인가. 그리고 그 책임을 감독할 제도는 과연 제대로 작동하고 있는가.

이번 자폭성 대응의 후폭풍은 이제 시작이다. 지금까지는 알리가 스스로에게 날린 핵주먹이었다면, 다음은 감독당국과 시장, 그리고 신뢰의 링 위에서 되돌아올 차례다. 무하마드 알리의 핵주먹을 진짜로 맞는 날은 멀지 않아 보인다.

문채형 뉴스룸 국장