티스토리 뷰
목차
2025년 6월 9일 새벽 4시, 온라인 서점 예스24가 랜섬웨어 공격을 받아 3일째 서비스가 마비되고 있습니다. KISA(한국인터넷진흥원)는 예스24가 기술지원을 거부하고 있다고 반박했으며, 개인정보보호위원회가 조사에 착수했습니다.
예스24 랜섬웨어 공격 경과
사태 발생 시점과 초기 대응
2025년 6월 9일 새벽 4시경, 예스24의 모든 온라인 서비스가 마비되었습니다. 초기에는 단순한 시스템 장애로 안내했으나, 국회 과학기술정보방송통신위원회 소속 최수진 의원이 KISA로부터 제출받은 자료를 통해 랜섬웨어 해킹으로 밝혀졌습니다.
서비스 마비 현황
현재 예스24에서 이용할 수 없는 서비스:
- 도서 검색 및 주문: 온라인 서점 기본 기능 완전 중단
- 티켓 예매: 콘서트, 뮤지컬 등 모든 예매 서비스 중단
- 전자책(eBook): 크레마 서비스 포함 전자책 이용 불가
- 모바일 앱: iOS, 안드로이드 앱 모두 접속 불가
- 오프라인 매장: 도서 검색대 사용 불가
연쇄 피해 사례
- B.I 서울 콘서트: 팬클럽 선예매 일정 변경
- 엔하이픈 팬사인회: 응모 접수 취소
- 가수 미나미 내한공연: 예매처를 NOL 티켓으로 변경
- 박보검 팬미팅: 선예매 인증 일정 연기
KISA와 예스24 간 협력 논란 심화
예스24의 공식 입장
예스24는 입장문을 통해 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"며 "정보보호팀을 보유하고 있어 해당 절차에 따라 KISA와 공동 조사를 진행하고 있다"고 발표했습니다.
KISA의 강력한 반박
KISA는 "예스24가 'KISA와 협력하여 원인 분석 및 복구 작업에 총력을 다하고 있다'고 발표한 것은 사실이 아니다"라고 명확히 반박했습니다.
KISA의 구체적 주장:
- 6월 10일(화)과 11일(수) 2차례 방문했으나 예스24가 기술지원에 협조하지 않고 있음
- 첫 현장 출동 시 구두로 상황을 공유받은 것 외에는 추가적인 협력이나 조사가 이루어지지 않음
예스24의 해명
예스24는 "기술 검토 부서가 따로 있어 KISA의 지원을 받지 않았다"며 "KISA가 방문했을 때 조사한 자료들을 다 제공하며 협조했다"고 해명했습니다.
개인정보 유출 우려와 정부 조사
개인정보보호위원회 조사 착수
개인정보보호위원회가 12일 예스24에 대한 개인정보 유출 조사에 착수했다고 발표했습니다. 예스24는 랜섬웨어 공격을 당일 인지했고, 조치 과정에서 비정상적인 회원정보 조회 정황을 확인했다고 신고했습니다.
경찰 수사 개시
인천경찰청 사이버범죄수사대는 사안의 심각성을 고려해 입건 전 조사에 착수하고, 해킹범 추적과 구체적인 피해 규모를 살펴볼 계획입니다.
예스24의 개인정보 보호 주장
예스24는 "개인 정보와 주문 정보 등 모든 데이터 파일을 암호화해 보관하고 있었고, 침입 흔적을 확인할 수 있는 로그 기록이 없어 유출이 없었음을 확인했다"고 주장했습니다.
하지만 개인정보보호위원회 조사가 시작되자 예스24는 뒤늦게 "개인정보 유출 확인 시 개별 연락을 드리겠다"는 공지사항을 게재했습니다.
랜섬웨어 공격의 특징과 복구 전망
랜섬웨어 공격 방식
해커들이 회원 정보 등을 암호화해 예스24가 이를 해독하지 못하고 있으며, 해커들은 암호화를 풀기 위한 금전적 대가를 요구하는 것으로 전해졌습니다.
복구 작업 현황
초기에는 암호화된 데이터를 해독하는 작업을 진행한다고 했으나, 이후 보도에서는 백업된 데이터를 복구하여 정상화하는 작업이 진행 중이라는 내용이 나왔습니다.
예스24는 11일 오전 3시경 관리자 계정 복구에 성공해 현재 서비스 정상화 작업을 신속히 진행 중이라고 밝혔습니다.
늑장 대응과 투명성 문제
해킹 사실 은폐 의혹
예스24는 해킹 피해 사실을 인지하고 KISA에 피해 사실을 신고했음에도 사태 다음 날까지 해킹 피해 사실을 고객들에게 알리지 않은 채 '더 나은 서비스 제공을 위한 시스템 점검'이라고 공지했습니다.
신고 의무 이행 여부
사이버 공격 피해를 본 지 24시간 안에 관계 당국에 신고해야 하는 규정을 지켰는지 여부는 명확하지 않으나, 예스24 측은 신고 의무를 이행했다고 주장하고 있습니다.
사이버 보안 거버넌스의 구조적 한계
강제 조사 권한 부재
이번 사태는 사이버 공격 발생 시 정부의 기술 지원이 민간 기업의 선택에 맡겨져 있다는 점에서, 강제 조사 권한이 없는 현행 체계의 구조적 한계를 드러냈습니다.
KISA 관계자는 "기업이 필요한 부분에 대해 지원은 할 수 있지만 강제할 순 없다"며 현행 제도의 한계를 인정했습니다.
고객 피해 보상 계획
예스24의 보상 약속
예스24는 "접속 오류로 인해 불편을 겪었을 고객들과 관계사에 대한 보상안을 마련 중에 있으며 서비스 접속 정상화와 함께 구체적인 피해 범위별 보상안을 전체 공지 및 개별 안내할 수 있도록 하겠다"고 발표했습니다.
예스24는 "피해 보상은 무조건 다 한다는 게 원칙"이라며 "콘서트 입장이 안 된다거나, 예매 취소를 못 한다거나 하는 등 케이스가 많아 정리하고 있다"고 밝혔습니다.
개인정보 보호를 위한 고객 안내 사항
보안 주의사항
예스24는 고객들에게 다음 사항을 당부했습니다:
- 예스24 또는 금융기관을 사칭한 문자, 이메일, 전화 주의
- 출처가 불분명한 링크나 첨부파일 즉시 삭제
- 본인 명의 계좌 및 카드 발급 내역 확인
향후 전망과 시사점
랜섬웨어 대응 체계 강화 필요
개인정보보호위원회는 최근 랜섬웨어를 이용한 개인정보 유출사고가 늘고 있는 점을 감안해 각 사업자들에게 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관할 것을 권고했습니다.
디지털 서비스 신뢰도 회복 과제
이번 예스24 사태는 단순한 해킹 피해를 넘어 다음과 같은 중요한 교훈을 남겼습니다:
- 투명한 소통의 중요성: 초기 대응에서의 은폐 시도가 고객 신뢰를 크게 훼손
- 정부-민간 협력 체계의 한계: 강제 조사 권한 부재로 인한 대응 지연
- 백업 시스템의 중요성: 랜섬웨어 공격에 대비한 안전한 데이터 백업 필요성
- 법적 규제 강화 필요성: 사이버 보안 사고 시 기업의 투명한 대응을 유도할 제도적 장치 필요
결론
예스24 랜섬웨어 해킹 사태는 디지털 시대 사이버 보안의 중요성과 함께 투명한 소통, 정부-민간 협력의 필요성을 재확인시켜준 사건입니다. 특히 KISA와의 협력 거부 논란은 현행 사이버 보안 거버넌스 체계의 구조적 한계를 드러내며, 향후 제도 개선의 필요성을 제기하고 있습니다.
2000만 명의 회원을 보유한 대형 온라인 서비스의 장기간 마비는 개인정보 보호와 서비스 연속성 보장의 중요성을 다시 한번 강조하며, 기업의 사회적 책임과 정부의 역할에 대한 근본적인 성찰을 요구하고 있습니다.
