 |
한국인터넷진흥원(KISA) 기술 지원 대신 자체 조사를 진행하기로 결정하면서 장애 복구에 난항을 겪는 모습이다. KISA 측은 해킹 사고가 발생했더라도 기술 지원에 대한 법적 강제성이 없어, 현 시점에서 조사 당국이 현장 상황을 파악하는 데 한계가 있다는 입장이다.
이에 10일 과학기술정보통신부(이하 과기정통부)와 KISA는 침해사고 당시를 분석할 수 있는 자료 보존을 예스24 측에 요구했다.
◆왜 정부는 예스24를 조사할 수 없나?
이날 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 KISA로부터 제출받은 자료에 따르면, 예스24는 전날 오후 KISA 측에 해킹 사실을 신고했다. 해킹은 지난 9일 오전 4시 발생한 것으로 확인됐다.
예스24는 이날 입장문을 통해 랜섬웨어 공격 발생 사실을 인정하며 “내부 조사 결과 개인정보 유출 정황은 확인되지 않았다”고 공지했다.
이는 정부 조사결과가 아닌, 예스24 자체 조사만으로 발표된 내용이다. 사이버침해 사고 경우, 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)이 대응하고 있다. 하지만, 예스24가 KISA 기술지원을 거부하면서, KISA는 현장 조사를 할 수 없는 상황이다.
최광기 과기정통부 사이버침해대응과장은 “신고 접수를 받은 후, 통상적으로 사고 원인과 피해현황을 파악하고 피해 확산 방지 조치 등을 취하도록 지원하고 있다”며 “KISA를 통해 기술 지원을 진행하고 있는데, 모든 기업이 이에 응하는 것은 아니다”라고 설명했다.
이어 “다만, 망법에 따라 자료보존이나 자료제출을 요구할 수 있다. 침해발생기업인 예스24에 공문을 보내 침해사고 발생 당시를 분석하기 위한 자료보존 및 필요 자료 제출을 요구했다”고 밝혔다.
물론, KISA 기술 지원은 법적 의무사항이 아니기 때문에 자체적으로 침해사고를 대응하겠다는 취지로 이를 거부할 수도 있다. 최근 대규모 해킹 사고가 발생한 SK텔레콤 또한 처음에 기술 지원을 받지 않다가, 추후 사안의 심각성을 고려해 응한 바 있다.
상황이 이렇다 보니, 사이버침해사고 관련 정부와 예스24 간 협력이 원활하지 않다. KISA는 예스24 자료 제출 등을 기다려야만 하고, 사고조사를 위한 정보 접근에도 한계가 있다.
KISA 관계자는 “예스24 쪽과 연락하는 것도 어렵고 소통이 원활하지 않은 것은 사실이나, 고의라기 보다 장애 복구 등에 정신이 없어 그런 것으로 이해한다”면서도 “현재 신고 받은 내용을 중심으로 (사안을) 보는 중”이라고 짚었다.
실제 악성코드 등이 작동해 정보 탈취가 이뤄졌는지는 조사 과정에서 살펴볼 대목이지만, 개인정보보호위원회(이하 개인정보위)도 조사에 참여하지 못하고 있다. 개인정보위에 따르면 예스24로부터 접수된 개인정보 유출 신고는 없었다. 예스24가 개인정보 유출이 확인되지 않았다고 밝히고 있기 때문이다.
그러나 해킹은 사이버범죄인 만큼, 경찰에 신고할 수 있다. 특히, 랜섬웨어는 주로 금전 요구를 하는 사이버범죄로 경찰 수사가 필요한 부분이다. 이와 관련해 디지털데일리는 경찰 신고 여부를 문의했으니, 예스24는 이에 대해선 확인해주지 않고 있다.
 |
예스24가 과거 반복적인 보안 사고를 냈다는 점을 고려했을 때, 자체 조사 만으로 정확한 원인과 대응을 파악할 수 있는지 의문이라는 목소리도 제기된다.
예스24는 과거 방송통신위원회(이하 방통위) 개인정보 관련 법규 위반으로 과태료를 여러번 부과받았다. 2016년 개인정보를 노출시켜 과태료 1000만원을, 2020년 개인정보·위치정보보호 법규 위반으로 과태료 1500만원을 부과받았다.
2016년 당시 김재홍 방통위 상임위원은 “예스24 경우 200여건 노출됐는데 건수는 중요하지 않으며, 노출이 해킹보다 더 위험한 것 같다”며 “개인정보를 무방비 상태로 놓은 것은 개인정보보호 의식이 없는 것”이라고 질타하기도 했다.
2023년엔 해킹사고에 휘말렸다. 10대 박 군이 전자책 플랫폼과 유명 입시학원사이트 등을 해킹해, 약 140만건의 암호화된 전자책 복호화키와 동영상키 569개를 빼낸 후 협박 후 돈을 갈취한 사건이 있었다. 당시 해킹범은 디지털저작권관리(DRM)를 해제할 수 있는 복호화키를 얻어 범행을 저질렀다.
이 때 대한출판문화협회가 꾸린 실태조사단은 전자책 뷰어 프로그램 개발단계에서 시큐어코딩과 전자책 다운로드 때 사용자 검증 코드가 부재한 점을 사고 원인으로 짚었다. 알라딘 해킹사태로 알려졌기에 알라딘 대상 보안 실태조사였지만, 당시 조사단은 예스24도 같은 사례라고 설명한 바 있다.
지난해 5월 협회는 재발방지책도 내놓았지만, 예스24는 또다시 해킹에 당했다.
 |
이에 따라 예스24를 통해 공연 등을 예매한 고객들의 불편이 이어지고 있다. 예약 정보를 확인하지 못해 공연 입장이 제한될 수 있는데다, 이북이나 책 구매 현황도 확인하기 어려운 상황이다.
공연계에도 영향을 미치고 있다. 그룹 엔파이픈은 예스24 장애 사태로 오프라인 팬사인회 응모까지 취소해야 했다. 가수 비아이(B.I)도 팬클럽 선예매 일정을 변경할 예정이다. 뮤지컬 ‘베어 더 뮤지컬’ 제작사 쇼플레이는 예스24를 통해 예매한 관람객에게 별도로 취소 안내했다.
문제는 예스24가 해킹 사실을 처음부터 알리지 않았다는 점이다. 예스24는 해킹으로 서비스 장애 발생 후 ‘시스템 점검 안내’ 공지를 했다. 더 나은 서비스 제공을 위해 시스템 점검을 진행한다는 설명이었다. 홈페이지 접속 등이 어려운 이유로는 시스템 장애라고만 기재했다.
사건이 확산된 10일 오후에서야 랜섬웨어로 인한 장애임을 고객에 알렸다. 예스24는 “급박한 복구 과정으로 인해 가장 먼저 안내를 드려야 할 고객님들께 상세한 설명이 늦어지게 된 점 진심으로 사과드린다”며 “장애로 인해 각종 불편함을 겪으신 전 회원에 대해 구체적 보상안을 마련 중에 있다”고 전했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.