알리익스프레스 정산금 86억 해킹 증발…돈 물어준 알리, 되찾을 수 있을까?
알리익스프레스 정산금 86억 해킹 증발…돈 물어준 알리, 되찾을 수 있을까?
인천경찰청 정식 수사 전환으로 본 해킹 사태 전말
컴퓨터등사용사기죄 성립부터 배상명령제도 활용까지
알리익스프레스 로고
2025년 10월, 대형 이커머스 플랫폼 알리익스프레스코리아(이하 알리)에서 사상 초유의 대규모 해킹 사건이 발생했다.
누군가 정당한 접근 권한 없이 플랫폼 내부의 판매자(셀러) 계정에 무단으로 침입해 계좌 정보를 교묘하게 조작한 것이다. 이로 인해 판매자들에게 정상적으로 지급되어야 할 정산금 무려 86억 원이 허공으로 증발해 해커의 손으로 넘어가고 말았다.
사건 발생 직후, 플랫폼 측은 즉각적이고 이례적인 대응에 나섰다. 미지급된 정산금 86억 원의 원금은 물론, 지급 지연에 따른 가산 이자까지 모두 자체 자금으로 판매자들에게 전액 지급한 것이다.
해킹의 1차 타깃은 판매자들의 계정이었지만, 플랫폼의 발 빠른 대처로 인해 판매자들은 실질적인 금전적 손실을 피할 수 있었다. 결과적으로 86억 원이라는 막대한 재산상 피해를 온전히 떠안게 된 진짜 피해자는 알리가 된 셈이다.
현재 인천경찰청 사이버범죄수사대는 이 사건에 대한 입건 전 조사(내사)를 정식 수사로 전환하고, 피해자인 알리 측을 조사하는 등 본격적인 수사에 착수했다.
하지만 막대한 돈을 가로챈 해커의 신원은 아직 밝혀지지 않아 경찰은 '불상의 피의자'를 쫓고 있는 상황이다. 눈뜨고 86억 코 베인 이 사건 속에는 어떤 법적 쟁점이 숨어있으며, 피해액을 되찾을 방법은 무엇일까.
"정산금 86억 가로챈 해커, 사기죄일까?"… 컴퓨터등사용사기죄와 정보통신망법 위반의 덫
해커가 남의 계정에 무단으로 접속해 천문학적인 돈을 빼돌린 행위는 법적으로 어떻게 처벌될까. 우선 해커가 판매자 계정에 무단으로 침입한 행위 자체는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 제48조 제1항 위반에 해당한다.
법원은 부정하게 생성된 계정이나 유출된 관리자 계정으로 정보통신망에 침입한 행위에 대해 정보통신망 침해죄를 널리 인정하고 있다(서울중앙지방법원 2018. 9. 13. 선고 2018고단3559 판결, 의정부지방법원 고양지원 2025. 8. 19. 선고 2025고정172 판결).
이를 위반하면 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해진다.
더 큰 문제는 86억 원을 가로챈 행위다. 막대한 금액을 가로챘으니 흔히 '사기죄'를 떠올리기 쉽다. 하지만 일반적인 사기죄는 '사람'을 기망하여(속여) 재산상 이익을 취할 때 성립한다.
이번 사건처럼 사람을 직접 속인 것이 아니라 컴퓨터 시스템에 허위 정보를 입력해 돈을 빼돌렸다면, 형법 제347조의2에 규정된 '컴퓨터등사용사기죄'가 적용된다.
실제 판례에서도 타인의 계정에 권한 없이 침입해 가상계좌를 신청하고 대금을 송금받아 이익을 챙긴 행위에 대해 컴퓨터등사용사기죄의 성립을 명확히 인정한 바 있다(서울서부지방법원 2014. 5. 23. 선고 2013고단2815 등 판결). 정산금 지급 시스템을 조작해 86억 원을 챙긴 이번 범행 역시 해당 범죄가 적용될 가능성이 매우 높다.
86억 물어준 알리익스프레스, 손해배상청구 소송의 험난한 관문
플랫폼 측이 판매자들에게 86억 원과 지연이자를 모두 선지급했기 때문에, 판매자들에게는 법적으로 보전받아야 할 직접적인 금전적 손해가 남아있지 않다.
결국 86억 원의 현금 피해와 시스템 복구 비용, 보안 대응 비용 등을 고스란히 떠안은 알리가 최종 피해자로서 해커를 상대로 민법 제750조에 따른 불법행위 손해배상청구 소송을 제기해야만 한다.
문제는 현재 해커가 누군지 모르는 '얼굴 없는' 상태라는 점이다. 민사 소송을 제기하려면 원칙적으로 피고(해커)의 신원과 주소를 알아야 소장을 송달하고 판결을 집행할 수 있다.
신원을 모르는 상태에서 법원의 공시송달 제도를 이용해 승소 판결을 받아낸다 하더라도, 해커의 은닉 재산을 추적해 강제집행을 하는 것은 사실상 불가능에 가깝다. 법리적으로는 완벽한 피해자지만, 현실적인 구제 수단 앞에서는 거대한 장벽에 가로막힌 셈이다.
"잡히면 돈 다 뱉어내야" 형사고소와 배상명령제도를 활용한 묘수
결국 얽히고설킨 실타래를 풀 유일한 해결책은 경찰의 수사력에 달려있다. 플랫폼 측이 수사기관에 서버 로그, 접속 기록 등을 전면적으로 제공하며 협조하여 해커의 신원을 특정해 내는 것이 최우선 과제다.
사이버범죄수사대가 디지털 포렌식과 IP 추적, 나아가 국제 공조 수사를 통해 해커를 검거하고 기소하는 순간 상황은 180도 반전된다.
해커가 형사 재판에 넘겨지면, 피해자는 '배상명령제도'라는 강력한 카드를 꺼낼 수 있다. 배상명령제도란 형사 재판 과정에서 범죄 피해자가 복잡하고 오래 걸리는 별도의 민사 소송 없이도 간편하게 손해배상을 받을 수 있는 제도다(소송촉진 등에 관한 특례법 제25조).
확정된 배상명령은 집행력 있는 민사 판결문과 동일한 효력을 가지므로, 해커의 재산을 즉각적으로 압류하고 추심할 수 있는 강력한 무기가 된다.
이 복잡한 사태의 마침표는 결국 수사기관이 보이지 않는 유령과의 숨바꼭질에서 승리하느냐에 찍혀있다. 플랫폼의 선제적인 보상 조치로 애꿎은 셀러들의 줄도산 1차 피해는 완벽히 막아냈지만, 막대한 자금을 빼돌린 사이버 범죄자를 상대로 86억 원을 환수해야 하는 치열한 법적 공방은 이제 막 닻을 올렸다.
