[알파경제=이준현 기자] 국내 최대 온라인 서점 예스24가 지난 9일 랜섬웨어 공격 이후 "서버 백업 완료로 복구 중"이라던 해명에 대해서 업계에서는 이에 대한 우려가 여전한 것으로 전해졌다. 

 

◇ 백업 완료 복구 진행 중이라더니

지난 9일 새벽 4시 예스24는 랜섬웨어 공격이 발생했지만, 하루 종일 "시스템 점검 중"이라는 모호한 공지만 게시했다.

해킹 사실을 인정한 것은 국회 과학기술정보방송통신위원회 최수진 의원이 한국인터넷진흥원(KISA) 자료를 공개한 이후였다.

예스24는 공식 입장문을 통해 "서버 백업이 완료돼 복구 작업을 진행 중"이라고 발표했다. 마치 자체 기술력으로 문제를 해결할 수 있다는 듯한 자신감을 내비쳤다.

하지만, JTBC가 25일 단독 보도한 바에 따르면 예스24는 결제 내역과 주문 정보 같은 주요 데이터가 저장된 서버를 제대로 복사해 저장해 놓지 않았던 것으로 전해졌다.

적절한 백업이 없는 상황에서 서비스 마비가 장기화되자 예스24는 결국 해커들과 직접 협상에 나섰다. 그 대가로 지불된 것이 수십억원에 달하는 비트코인이었다.

이와 관련 예스24는 "서버 백업 및 복구 작업을 진행 중"이라면서 "해커와의 직접 협상은 사실무근"이라고 해명했다. 

 

◇ 지원 종료 윈도우로 서버 운영

이번 해킹은 고도의 기술을 동원한 제로데이 공격이 아니었다.

예스24가 전체 시스템 서버의 약 30%를 마이크로소프트의 공식 기술 지원이 2023년 10월에 종료된 '윈도우 서버 2012'로 운영해온 것으로 알려졌다.

지원 종료된 운영체제는 새로운 보안 패치가 제공되지 않아 시간이 지날수록 알려진 취약점에 무방비로 노출될 수 밖에 없다.

국내 최대 온라인 서점이라는 위상에 걸맞지 않은 안일한 보안 의식이 참사를 부른 것이다. 정기적인 시스템 업그레이드만으로도 충분히 막을 수 있었던 예견된 인재였다.

무엇보다 예스24는 11일 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 발표했지만, KISA는 즉각 반박에 나섰다.

KISA는 "예스24 본사에 두 차례 방문했지만 기술지원 요청에 대한 협조가 전혀 없었다"며 "현재까지 구두 보고 외에는 어떠한 협력도 이뤄지지 않았다"고 공식 발표했다.

KISA가 특정 기업의 발표를 공개적으로 반박하는 것은 매우 이례적인 일이다.

이는 예스24가 단순히 소통에 미숙했던 것이 아니라 의도적으로 규제 기관의 조사를 방해했음을 시사한다.
 

◇ 최대 201억 과징금 폭탄 받나

예스24의 총체적 실패는 막대한 법적 대가로 이어질 전망이다.

개정된 개인정보보호법에 따르면 개인정보 유출 등 법규 위반 시 전체 매출액의 3%까지 과징금을 부과할 수 있다.

예스24의 2024년 연결 기준 연매출 6711억원을 기준으로 하면 최대 201억원의 과징금이 가능하다.

이는 과거 어떤 개인정보 유출 사고보다도 훨씬 큰 규모다.

랜섬웨어 공격으로 221만명의 개인정보가 유출된 골프존이 75억원, 2500만건이 유출된 인터파크가 44억8000만원의 과징금을 받은 것과 비교하면 예스24의 잠재적 처벌 수준을 가늠할 수 있다.

과징금 산정 시 개인정보위는 기업의 협조 태도 등을 가중·감경 사유로 고려한다.

대중을 속이고 KISA 조사를 방해하며 모순된 정보로 혼란을 야기한 예스24의 행보는 명백한 '악의적 비협조' 사례다.

최종 과징금은 초기 보안 실패에 더해 조직적 은폐 시도에 대한 책임까지 더해져 결정될 가능성이 높다.

예스24는 정부 공인 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 보유한 기업이었다.

결국 이번 사태는 현행 인증 제도가 실제 보안 수준이 아닌 서류상 절차만을 평가하는 구조적 한계를 가지고 있음을 보여준다.

기업들은 인증을 방패삼아 법적 의무를 다했다고 주장하지만, 실제로는 기본적인 보안 수칙조차 지키지 않는 모순이 반복되고 있다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]