⁠⁠⁠⁠⁠⁠⁠

예스24 홈페이지에 12일 올라온 고객 안내문. 홈페이지 캡처

회원 2000만명을 보유한 국내 최대 인터넷서점 예스24가 12일 해킹 사태로 나흘째 영업을 못했다. 정보보안 당국의 지원까지 거부한 것으로 드러나면서 '예스24 미스터리'가 소비자와 업계를 당혹스럽게 하고 있다. 사고의 진상이 무엇이며, 왜 뭐 하나 속시원히 밝히지 못하는지에 여러 의혹이 쏟아진다. 회원들 사이에서는 정보 유출에 대한 우려가 증폭되고 있다.

예스24는 이날 홈페이지에 게시한 고객 안내문에서 "현재까지 파악한 바로는 고객들의 개인정보 외부 유출 정황은 확인되지 아니했다"면서도 "추가 조사 결과 개인정보 유출 확인 시 개별 연락 예정"이라고 밝혔다.

예스24는 지난 9일 오전 4시께 신원 미상 해커로부터 랜섬웨어 공격을 받아 시스템 제어가 어려운 상황을 맞았다. 이후 이날까지 홈페이지는 계속 먹통 상태다. 백화점같은 오프라인 소매점으로 치면 4일간 개점조차 못한 셈인데 이는 상상하기 어려운 영업 마비 사태다.

일이 이처럼 심각한데도 예스24는 당국의 지원을 거부한 것을 넘어 거짓발표까지 했다.

예스24는 전날 2차 입장문에서 "장애 발생 당일 오후 1시 한국인터넷진흥원(KISA)에 신고했다"며 "최고보안책임자 및 관련부서가 KISA와 협력해 원인분석 및 복구작업에 총력하고 있다"고 밝혔다.

그러나 이는 사실과 다르다. KISA의 전문 분석가들은 사안이 심각하다고 보고 10일과 11일 두 차례에 걸쳐 방문했지만 예스24는 도움을 거절했다. 이어 고객 안내문에는 KISA가 조사 과정에 참여했다는 거짓말을 기재했다.

예스24의 이같은 비윤리 행위에 당혹한 KISA는 12일 이례적으로 "사실과 다르다"는 공식 입장을 내고 "첫 현장 출동 시 상황을 구두로 공유 받은 것 외에는 추가적으로 확인하거나 예스24와 협력해 조사한 사실은 없다"고 설명했다. 예스24는 KISA의 반박이 나온 이후인 이날 오전에야 KISA에 기술지원을 요청했다.

이처럼 비상식적인 일이 벌어지자 고객들의 정보유출 우려가 계속해서 커지고 있다. 염흥렬 순천향대 정보보호학과 교수는 "조사가 필요하겠지만, 랜섬웨어에 걸린 채 여러 날 복구가 안 됐다는 점에서 이미 정보유출은 일어났을 가능성이 있다"며 "자체 정보보호 역량이 탁월하지 않은 이상 기업·기관들은 2차피해를 막기 위해서도 전문적인 기술지원에 최대한 신속하게 협조할 필요가 있다"고 말했다.

개인정보보호위원회도 개인정보 유출 조사에 착수했다. 법 위반 사항이 있는 경우 관련 법령에 따라 처분할 예정이다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.