예스24, 해킹 당하고도 "시스템 점검 중"...미온적 태도에 KISA "사고 조사 어려워"

예스24, 9일 랜섬웨어 피해 신고
홈피에는 "시스템 점검 중" 공지
미온적 태도에 당국 '사고 조사 난항'

문화 콘텐츠 플랫폼을 표방하는 예스24가 해킹 피해 사실을 당국에 신고하고도 대외적으로는 관련 내용을 제대로 알리지 않은 사실이 확인됐다.

예스24 홈페이지에 게재된 접속 장애 안내문. 예스24 홈페이지

10일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 예스24는 9일 오전 4시께 랜섬웨어 공격을 받았고, 직후 KISA에 신고했다.

하지만 예스24는 이런 사실을 이용자들에게 알리지 않았고, 홈페이지에는 "더 나은 서비스 제공을 위해 현재 시스템 점검 진행 중"이란 안내문을 게재했다. 해킹 가능성을 묻는 아시아경제 질의에도 "해킹은 절대 아니다. 내부 시스템 장애로 현재 복구 중이다"라고 설명했다. 또한 10일 오후 중 복구 예정일과 보상책 등을 발표할 예정이라고 밝혔으나, 해킹 사실을 알리는 언론 보도가 나온 후에야 "급박한 복구 과정으로 인해 상세한 설명이 늦어지게 되어 죄송하다"며 랜섬웨어 피해 사실을 인정했다.

해킹에 따른 이용자 개인정보 누출이 우려되는 상황에 예스24는 "회원님들의 개인정보는 일체의 유출 및 유실이 없는 점을 확인했으며, 주문 정보를 포함한 모든 데이터 역시 정상 보유 중"이라고 설명했다.

온라인 서점의 랜섬웨어 피해는 이번이 처음이 아니다. 2023년 인터넷 서점 알라딘이 해킹당해 전자책 72만여권이 유출되고 그중 5000권이 텔레그램 등을 통해 유출돼 광범위한 피해가 발생했다. 당시 대한출판문화협회를 중심으로 알라딘은 사후 수습에 나섰고, 재발 방지를 위한 모의해킹 시연까지 진행했으나, 당시 예스24는 출협의 동참 요구에 미온적 태도를 취한 것으로 알려졌다. 출협 관계자는 "당시 예스24는 출협의 협조 요구에 응하지 않아 해킹 피해가 우려되는 상황이었다"며 "이번 상황에서도 출협의 질의에 별다른 응답을 하지 않아 협회 차원의 대응이 이뤄지기 어려웠다"고 설명했다.

이런 미온적 태도는 이번 피해 복구에도 걸림돌이 되는 것으로 알려졌다. 최 의원실에 따르면 KISA는 예스24가 사이버 공격 관련 기술 지원 동의를 하지 않아 사고 조사를 위한 정보에 접근하는 데 한계가 있다고 보고한 바 있다.

예스24는 서비스 접속이 정상화되면 구체적 피해 범위에 따라 보상 방안을 공지하고 개별적으로도 안내하겠다고 밝혔다.

서믿음 기자 faith@asiae.co.kr