예스24 해킹 사태를 바라보며
진행 상황과 보상안, 그리고 문제점
내가 주로 이용하는 인터넷서점사는 예스24와 교보문고인데, 그중에서도 예스24를 더 많이 이용한다. 도서 구매뿐만 아니라 전자책 구매도 가장 많이 하며, 크레마클럽도 이용 중이다.
그런데 얼마 전, 예스24에 접속이 안 되는 일이 발생했다. 책 주문할 게 있었지만, 급히 받아야 해서 대신 교보문고에서 주문했다.
처음에는 갑작스러운 서버 점검이거나 오류가 발생한 것이라고 생각했다. 하지만 접속은 계속 안 되었고, 해킹 당했다는 이야기도 들렸다. 그때까지도 예스24측에서는 아래와 같은 공지사항만 있었을 뿐, 정확한 내용을 알려주는 공식적인 안내문이 없었다.
예상과 달리, 서버 장애는 하루를 넘겨 지속되었다. 이틀이 지나서야 예스24에서는 "랜섬웨어로 인해 서버가 마비되었다"라는 사실을 공지했다.
위와 같이, 2025년 6월 9일 새벽 4시경, 예스24가 랜섬웨어 공격을 받아 전면적인 서비스 장애가 발생했다는 것이다. 해커들은 서버의 핵심인 '서버설정파일'과 '스크립트파일'을 공격하여 시스템 전체를 마비시켰으며, 백업 서버까지도 해킹의 직·간접적 영향을 받은 것으로 확인되었다.
이처럼 예스24는 해킹 발생 직후 이를 알고 있었음에도 그 사실을 숨겼다. 실제 해킹 사실이 공식적으로 인정된 것은 사건 발생 36시간 후인 6월 10일이었으며, 이마저도 국민의힘 최수진 의원이 언론을 통해 먼저 공개하면서 알려진 것이었다.
해킹 사실을 숨긴 것에 대해서도 비판이 있었으나, 사태가 지속되는 과정에서 예스24측이 보인 행보에 사람들은 더욱 실망했다. 거짓말과 말 바꾸기 때문이었다.
예스24는 "한국인터넷진흥원(KISA)과 협력해 원인분석 및 복구 작업에 총력을 다하고 있다"라고 발표했으나, KISA는 이를 정면 반박했다. KISA는 6월 10일과 11일 두 차례 예스24 본사를 방문했지만, 예스24 측이 "복구 작업을 하느라 경황이 없다"는 이유로 조사 전문가들의 시스템 접근을 원천 봉쇄했다고 밝힌 것이다.
또한 보안과 관련해서 그동안 적절한 관리를 해오지 못했던 정황도 드러났으며, 문제점이 있음에도 아무 문제가 없었던 것처럼 속여온 것도 비판받았다. 보안을 위한 최소한의 조치조차 없었다는 점에서 문제가 되었는데, 얼마 전 SKT의 대규모 해킹 사건에 이어 발생한 일이라 사람들의 충격과 우려가 더 컸을 것이다. 국내 굴지의 대기업들의 보안 수준에 대한 신뢰가 완전히 깨져 버렸다.
더구나 관련 사실을 공지하는 과정에서도 은폐하려는 정황이 있었으며, 해킹 사실이 드러나자 그제야 어쩔 수 없이 공지하는 것은 고객들을 기만한 것이었다. 아울러 개인 정보 유출에 대해서도 정확한 파악이 안 되어 사용자들의 불안을 가중시켰다.
개인정보보호위원회는 6월 11일 예스24에 대한 개인정보 유출 조사에 착수했다고 발표했다. 예스24가 "비정상적인 회원정보 조회 정황을 확인했다"며 유출 신고를 했기 때문인데, 예스24는 처음에는 "개인정보 유출은 없었다"라고 주장했으나, 이후 "현재까지 파악한 바로는 개인정보 외부 유출 정황은 확인되지 않았지만, 만에 하나의 가능성에 대비해 추가 조사 결과 개인정보 유출이 확인되면 개별 연락을 드리겠다"라고 말을 바꾼 바 있다.
그러한 가운데 김동녕 한세예스24홀딩스 회장이 막내딸인 김지원 한세엠케이 대표에게 주식 200만 주를 증여했다는 소식은 불난 집에 기름을 부은 격이었다. 이러한 상황에서도 최고 경영자들이 숨어서 보이지는 않는 상황에서 이런 뉴스까지 나오니 경영진들의 도덕성에 대해서도 비난 받아 마땅했던 것이다.
보안 전문가들은 백업 서버까지 랜섬웨어의 영향을 받았기 때문에 복구가 지연될 것으로 보았다. 백업 서버에 저장된 파일을 불러와 본 서버를 복구하는 과정에서 랜섬웨어 감염 여부를 일일이 확인해야 하기 때문에 상당한 시간이 소요될 것이라는 것이다. 그러나 서버 복구는 예상보다는 빠르게 진행되었다.
예스24에서는 6월 11일에 관리자계정을 복구하고, 서버 복구에 들어갔다고 밝혔다. 이어 6월 13일에 티켓, 도서 등 일부 서비스를 재개했고, 전자책 등 다른 서비스들도 순차적으로 재개했다. 6월 19일 현재는 대부분의 서비스가 정상적으로 제공되는 것으로 보이나 아직 완벽하게 복구된 것은 아니기에 아직 시간이 좀 더 소요될 것으로 보인다.
아울러 인천경찰청 사이버범죄수사대는 6월 11일, 예스24의 랜섬웨어 해킹 공격에 대해 수사를 개시했다고 밝혔다. 경찰은 예스24의 피해 신고는 없었지만 사안의 심각성을 고려해 직접 수사에 나섰으며, 회원 개인정보 유출 여부와 해커들의 금전 요구 등을 조사하고 있다.
예스24는 6월 16일, 해킹 사태 일주일 만에 1차 보상안을 발표했다. 공연 티켓을 예매해 놓고 공연을 보지 못한 고객에게는 티켓 금액의 120%를 환불하고, 책 출고가 지연된 고객에게는 현금처럼 쓸 수 있는 포인트 2,000점을 지급한다고 밝혔다. 그 외 1차 보상안은 다음과 같다.
이어 6월 17일에는 전체 회원을 대상으로 한 2차 보상안을 발표했다. 주요 내용은 다음과 같으며, 자세한 내용은 아래 표를 참조하면 된다.
전체 회원: YES 상품권 5,000원, 크레마 클럽 무료 이용 30일권 제공
온라인 상품 구매 회원: 무료 배송 쿠폰 1장 추가 제공
eBook 구매 회원: eBook 전용 YES 상품권 5,000원 추가 제공
사용 기한: 2025년 7월 6일까지
내 경우에는 기간 제한이 있었던 상품권의 유효기간이 연장되었으며, eBook 전용 상품권 5,000원이 지급되었다. 일반 도서 등 구매가 가능한 상품권과 무료 배송 쿠폰은 아직 지급되지 않았으나 6월 18일부터 24일까지 순차적으로 지급될 것이라고 한다. 그리고 크레마클럽 30일 이용 연장에 대해서도 아직 적용되지는 않았다.
예스24측의 이러한 보상안에 대해서 충분하다고 보는 사람이 있는가 하면, 미봉책일 뿐이라고 비판하는 사람도 있다. 기간이나 금액 제한이 있거나 예치금으로 환불되는 것에 대한 불만도 있다.
내 경우에는 약 일주일 간의 접속 장애로 인해 느낀 불편이 크지 않았기에 이 정도의 보상안이라면 예스24측에서도 할 수 있는 선에서는 최대한 제시한 것으로 본다. 회원 수만 해도 2,000만 명에 이른다고 하니, 실제로 회원들이 그 쿠폰이나 상품권을 다 사용하지 않더라도 회사로서는 엄청난 손실을 감수해야 하기 때문이다.
하지만 진정한 보상안은 이렇게 금전적으로만 이루어지는 것은 아니다. 예스24에서는 '고객과의 신뢰 회복'과 '재발 방지 대책 강구'라는 숙제를 안게 되었다. 과연 그들이 진정성 있게 이 사태를 잘 마무리하고 거듭날 수 있을 것인지 지켜보는 눈들이 많다.
또한 이번 사태는 비단 예스24뿐만 아니라 국내의 대표적인 인터넷서점사, 그리고 전자상거래업체, 아니 모든 인터넷사이트에 대하여 보안의 중요성에 대해 다시 상기시키고, 문제점을 파악하여 보완하는 계기가 되었으면 한다. 언제까지 "개인정보는 공공재"라는 자조 섞인 말을 해야 할까 싶다.
p.s. 원래 에스24를 비롯해서 국내 인터넷서점사들과 전자책서비스 제공업체들에 대해 글을 써보려고 준비하던 중이었는데 시의성을 고려하여 이 글을 먼저 적어 보았다.
p.s.2. 어제 날짜로 전체 회원 보상 상품권도 지급되었다. 그런데 이 상품권의 사용은 6월 23일부터 가능하다.
