[현징] "두달 만에 또 뚫렸다"…예스24, 김석환·최세라 대표 무능 도마위

[알파경제=이준현 기자] 국내 최대 온라인 서점 예스24가 11일 새벽 또다시 랜섬웨어 공격을 받아 전면 서비스 중단 사태에 빠졌다가 7시간여 만에 복구됐다. 지난 6월 9일 첫 번째 해킹 이후 불과 63일 만이다.

김석환, 최세라 공동대표가 지난 6월 "보안 체계를 원점에서 재점검하겠다"고 약속한 지 두 달도 채 지나지 않아 같은 참사가 반복되면서, 경영진의 무능과 기만에 대한 비판이 거세게 일고 있다.

예스24는 이날 오전 4시 30분경 외부 랜섬웨어 공격을 받아 웹사이트와 모바일 앱 접속이 전면 차단됐다고 발표했다.

도서 주문, 전자책 이용, 공연 티켓 예매 등 모든 서비스가 중단됐다. 회사는 공격 직후 전사적 비상 대응 체계를 가동해 추가 피해 방지를 위해 시스템을 긴급 차단했고, 한국인터넷진흥원(KISA)에 해킹 피해를 신고했다.

예스24는 오전 11시 30분 "백업 데이터를 활용한 서비스 복구 작업을 진행했다"며 "모든 서비스가 정상적으로 접속 및 이용 가능한 상태"라고 밝혔다.

KISA는 즉시 현장 조사에 착수했다.

◇ 63일 만 반복된 랜섬웨어 해킹

11일 발생한 공격은 김석환·최세라 공동대표의 6월 약속의 실효성에 대한 의문을 제기한다. 불과 두 달 만의 재발은 보안 체계 개선이 충분하지 않았음을 시사하기 때문이다.

과학기술정보통신부와 KISA가 발표한 상반기 사이버 위협 동향 보고서를 통해 "예스24 사건의 가장 중요한 문제점은 랜섬웨어 감염에 대비한 오프사이트 백업 체계가 구축되지 않았다는 것"이라고 지적한 바 있다.

특히 마이크로소프트의 기술 지원이 2023년 10월 종료된 윈도우 서버 2012를 1년 반 이상 방치하며 사용해온 사실이 알려져 논란이 일기도 했다. 보안 업데이트가 불가능한 구형 운영체제는 해커들에게 열린 문과 다름없었다.

이번 랜섬웨어 공격에 예스24는 6월과 달리 해킹 사실을 즉시 인정했다. 그러나 이는 투명성의 개선이 아니라, 6월 사태에서 ’시스템 점검’ 거짓말로 혹독한 비판을 받은 학습 효과일 뿐이다.

정작 중요한 기술적 보안 강화는 전혀 이뤄지지 않았다는 점에서 더욱 참담하다.

이에 대해 예스24 관계자는 알파경제에 "두 달 전 사고에 대한 KISA 조사가 아직 진행 중이었고, 최종 결과가 나오면 종합적인 보안 강화 대책을 발표할 예정이었다"고 해명했다.

◇ 김석환·최세라 대표 "보안 체계 전면 개편" 공언 무색

김석환·최세라 공동대표는 6월 16일 공식 사과문을 통해 ▲보안 체계를 원점에서 재점검, ▲외부 보안 자문단을 도입, ▲보안 예산을 확대해 플랫폼의 신뢰도와 복원력을 강화 등 세 가지 핵심 약속을 했다.

그러나 63일 만의 재앙은 이 모든 약속이 공허한 말잔치였음을 증명했다.

다만, 진정한 보안 체계 개편이라면 최소 6개월에서 1년 이상의 시간이 필요하다는 것이 업계 상식이다.

63일이라는 기간은 분명히 근본적인 시스템 전면 개편을 완료하기에는 짧다.

그럼에도 불구하고 또다시 같은 방식의 공격에 무너진 것은 심각한 문제다.

이는 애초에 실현 불가능한 약속을 한 것이거나, 최소한의 기본적인 보안 조치조차 제대로 이행하지 않았다는 평가다.

예스24 관계자는 "보안 투자는 고객들이 체감하기 쉽지 않은 부분"이라며 투자와 노력이 있었음을 간접적으로 피력했다.

하지만 결과적으로 동일한 공격에 또다시 노출된 것은 그간의 조치가 충분하지 않았음을 보여준다.

◇ 신뢰 실종...반복되는 보안 불감증

예스24의 보안 소홀은 어제오늘 일이 아니다.

2016년과 2020년 개인정보보호법 위반으로 과태료를 받았고, 2022년에는 고등학생 해커에게 전자책 복호화 키 143만 건이 탈취당하는 사건까지 겪었다. 그럼에도 근본적인 개선 없이 임시방편적 대응만 반복해왔다.

결국 2000만 회원의 개인정보가 또다시 위험에 노출됐다. 6월 사태 당시에도 개인정보보호위원회가 ’비정상적인 회원정보 조회 정황’을 확인해 조사에 착수했던 전례가 있다.

이번에도 유사한 피해가 발생할 가능성을 배제할 수 없다.

KISA는 11일 즉시 현장 조사에 착수했다고 밝혔다. 예스24는 정부 공인 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 보유한 기업이다.

그러나 연이은 보안 사고는 현행 인증 제도가 서류상 절차만을 평가하는 구조적 한계를 가지고 있음을 극명히 드러낸다.

개정된 개인정보보호법에 따르면 중대한 법규 위반 시 전체 매출액의 3%까지 과징금을 부과할 수 있다. 예스24의 2024년 연매출 6711억 원을 기준으로 하면 최대 201억 원의 과징금이 가능하다.

반복적이고 고의적인 보안 소홀에 대해서는 최고 수준의 징계가 내려질 가능성이 높다.

김석환, 최세라 공동대표의 보안 강화 약속이 충분히 이행되지 않은 채 재발한 이번 사태는 단순한 경영 실패를 넘어 2000만 고객에 대한 신뢰 실추를 가져왔다.

디지털 플랫폼으로서의 기본 자격조차 의심받는 상황에서, 이들이 과연 계속 경영진 자리에 있을 자격이 있는지에 대한 근본적 성찰이 필요하다.

알파경제에서 읽기