[알파경제=이준현 기자] 국내 최대 온라인 서점 예스24가 랜섬웨어 해킹으로 2000만 회원의 개인정보가 위험에 처한 상황에서도 경영진이 일주일간 침묵으로 일관했다.

뒤늦게 나온 사과문과 보상안마저 진정성보다는 고객 유지를 위한 마케팅 수단에 불과해 오히려 고객들의 분노만 키우고 있는 모습이다.

◇ 김석환·최세라 대표, 일주일 만 '뒷북' 사과

김석환·최세라 예스24 공동대표가 16일 공식 사과문을 발표하기까지 무려 183시간이 걸렸다.

지난 9일 오전 4시경 랜섬웨어 공격이 시작된 후 정확히 7일 만이다.

더욱 문제가 된 것은 이 기간 동안 경영진의 완전한 '불통'이었다.

한세그룹 창업주 김동녕 회장의 장남인 김석환 대표(1974년생)와 2003년 사원으로 입사해 대표까지 오른 최세라 대표(1973년생)는 공식입장 뒤에 숨어 직접적인 해명이나 사과를 하지 않았다.

2000만 명의 개인정보가 유출될 수 있다는 초유의 사태 앞에서도 최고 책임자들의 모습은 어디에서도 찾아볼 수 없었다.

대신 권민석 최고보안책임자(CSO) 등 실무진만이 수습에 나섰을 뿐이다.

이런 무책임한 태도는 위기 상황에서 리더십이 어떻게 작동해야 하는지에 대한 기본 상식마저 결여되었음을 보여준다.

특히 한국인터넷진흥원(KISA)과의 갈등, 개인정보보호위원회의 조사 착수 등 연쇄적 위기가 터져 나오는 상황에서도 경영진의 직접 해명은 전혀 없었다.
 

◇ "내 개인정보가 고작 5천원?"

김석환·최세라 공동대표는 사과문을 통해 "이번 사고로 불편을 겪으신 고객님들과 협력사 분들을 비롯한 모든 분들에게 머리 숙여 깊이 사과드린다"며 "현재 모든 역량을 동원해 피해 복구와 신뢰 회복에 전념하고 있다"고 밝혔다.

하지만 이런 진정성 있어 보이는 사과 직후 발표된 보상안은 고객들의 실망과 분노를 더욱 키웠다.

17일 발표된 2차 보상안에 따르면 전체 회원에게 5천원 상품권을 지급한다는 내용이었다.

이에 2000만 명의 개인정보가 유출될 위기 앞에서 고작 5000원이라는 금액은 "내 개인정보가 5000원이냐"는 비판을 불러일으켰다.

특히 상품권, 포인트, 예치금 등 모든 보상이 결국 고객을 다시 예스24 플랫폼으로 유인하기 위한 고객 유지 전략에 불과했다는 지적이다.

1차 보상안인 '티켓 금액 120% 예치금 환불'의 경우, 현금 환불이 가능하다고 하지만 결국 예스24에서 다시 소비를 유도하는 구조다.

도서 구매 지연 고객에게 지급하는 2000포인트 역시 5000포인트부터 사용 가능해 추가 구매를 강요하는 설계였다.

온라인 커뮤니티에서 한 이용자는 "이런 상황에도 자기네 사이트를 더 이용하라는 거냐"며 분노를 표했다.

이는 피해 구제의 기본 원칙을 무시한 채 위기 상황마저 마케팅 기회로 활용하려는 냉소적 발상이라는 비판이 제기되는 이유다.

진정한 보상이라면 피해자를 온전히 원상회복시키는 것이어야 한다. 하지만 예스24의 보상안은 피해자에게 '보상'을 받기 위해 또 다른 거래에 참여하라고 요구하는 모순적 구조를 보였다.
 

◇ '시스템 점검→KISA 협력' 의도적 기만 행위

예스24의 위기 대응 단계에서도 체계적이고 의도적인 기만 행위로 비판을 받았다.

지난 9일 랜섬웨어 공격을 인지하고도 "더 나은 서비스 제공을 위한 시스템 점검 진행 중"이라는 허위 공지를 내걸었다. 중대한 보안 사고를 단순한 정기점검으로 포장한 것이다.

결국 36시간이 지나고 나서야 국회 과학기술정보방송통신위원회 최수진 의원이 KISA 자료를 통해 랜섬웨어 공격 사실을 공개하자, 그제야 마지못해 사실을 인정했다.

내부적으로는 같은 날 오후 KISA에 해킹 피해를 신고했으면서도 대외적으로는 시스템 점검이라고 거짓말을 계속한 것이다.

거짓말은 여기서 끝나지 않았다.

11일 예스24는 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"는 2차 입장문을 발표했다. 그러나 KISA는 당일 밤 이례적인 반박 보도자료를 통해 "사실과 다르다"고 공개 부인했다.

KISA에 따르면 10일과 11일 두 차례 사고 분석 전문가들이 예스24 본사를 방문했지만, 회사 측은 간단한 구두 설명 외에는 기술지원에 전혀 협조하지 않았다.

정부 공인 보안기관을 상대로 한 이런 허위 발표는 단순한 기업 홍보를 넘어 공공기관 업무 방해 행위나 다름없었다.

개인정보 유출 여부에 대한 입장도 오락가락했다.

처음에는 "개인정보 유출 정황은 확인되지 않았다"고 단언했다가, 개인정보보호위원회가 조사에 착수하자 "추가 조사 결과 개인정보 유출이 확인된다면 개별 통지하겠다"고 입장을 번복했다.
 

◇ 김동녕 회장, 위기 속 83억원 증여 택해

김동녕 한세예스24홀딩스 회장은 2000만 회원이 해킹 사태로 피해를 겪고 있던 지난 12일 막내딸에 대한 대규모 주식 증여를 강행했다.

금융감독원 전자공시시스템에 따르면 김 회장은 12일 딸 김지원씨에게 한세예스24홀딩스 주식 200만주(지분 5%)를 증여했다.

당일 주가 기준 83억원 상당의 막대한 규모였다. 특히 이 증여가 실행된 시점은 랜섬웨어 공격으로 서비스가 마비된 지 나흘째 되는 날이었다.

수백만 명의 고객이 책 한 권 주문하지 못하고, 공연 티켓을 사용할 수 없어 입장을 거부당하며, 전자책 서비스 중단으로 구매한 디지털 콘텐츠에 접근조차 할 수 없는 극심한 피해를 겪고 있던 바로 그 순간이었다.

특히 해킹 사태로 인한 주가 하락 시점에서 증여를 실행하면 증여세 부담을 대폭 줄일 수 있다. 주식 증여세는 증여일 전후 2개월 총 4개월간의 종가 평균으로 과세표준을 산정하기 때문이다.

자신들의 부실한 보안 관리로 발생한 위기 상황을 사적 이익 증대의 기회로 활용한 것이라는 비판이 나올 수밖에 없는 이유다.

이번 증여로 장남 김석환 대표 25.95%, 차남 김익환 한세실업 부회장 20.76%, 막내딸 김지원씨 10.19% 등 총 56.9%에 달한다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]