[IT동아 김예지 기자] 지난 6월 9일(월) 오전 4시경 국내 온라인 서점 및 티켓 예매 플랫폼 예스24가 정체불명의 랜섬웨어 공격을 받아 시스템이 전면 마비되는 사태를 겪었다. 6월 11일(수)부터 시작된 복구 작업으로 13일(금)부터 예스24 도서 및 티켓 서비스는 재개됐지만, 오랜 시간 서비스 이용에 차질을 빚자 사용자들의 불만은 높아졌다.

예스24 홈페이지 서비스 복구 안내문 / 출처=IT동아

랜섬웨어 공격…피해 범위는?

과거의 사이버 범죄가 금전적 이득을 취할 수 있는 금융 기관에 집중되었던 반면, 최근 해커들은 고도화된 기술을 활용해 비금융권 기업을 노려 방대한 사용자 개인정보를 탈취하고 있다. 지난 4월 SKT 유심해킹 사태, 인크루트 개인정보 유출 사태 등과 같이 예스24도 약 2000만 명의 사용자 데이터를 보유한 기업이다.

이번 사이버 위협의 유형은 랜섬웨어다. 이는 컴퓨터 시스템이나 데이터 등을 암호화한 뒤 금전을 요구하는 해킹 공격으로, 사이버 공격의 대표 사례 중 하나다. 이번 사태에서 해커는 예스24의 핵심 서버 설정 및 스크립트 파일을 암호화했으며, 백업 서버를 손상해 장기간 서비스 중단을 초래한 것으로 알려졌다.

예스24 홈페이지 개인정보 관련 고객 안내문 / 출처=IT동아

새벽에 시작된 공격으로 인해 예스24의 웹사이트, 모바일 애플리케이션, 크레마 이북(eBook) 등 핵심 서비스뿐만 아니라 오프라인 서점의 중고책 처리 및 포인트 적립 기능까지 중단됐다. 예스24는 13일(금) 기준으로 도서 및 음반/DVD, 문구/기프트, 이북 상품 구매, 크레마클럽 서비스, 주문 결제 기능, 티켓 서비스 등은 비교적 빠르게 복구했다. 이어 순차적으로 상품 상세, 포인트/머니/상품권 등 정보 조회, 일대일 문의, 통합검색, 출석체크, 오프라인 매장 등 서비스도 복구했다. 현재는 사락, 채널예스, 영중문몰, 마이페이지 일부 서비스를 복구 중이다. 한편 당초 예스24는 15일(일)까지 완전한 서비스 복구를 목표로 한 바 있다.

논란 불러 일으킨 늑장 대응

사고 직후 예스24는 서비스 정상화 작업에 착수했지만, 개별 통지 부재 및 늑장 대처와 같은 초기 대응으로 일각의 비판을 피하지 못했다. 예스24는 사고가 발생했음에도 ‘시스템 점검 중’이라는 간단한 공지만을 올리고 해킹 사실을 부인했다. 그러다 사건 발생 36시간 후인 10일(화)에 공식적으로 해킹 사실을 인정했다.

정부 기관과의 협조도 미흡했다는 지적이 나온다. 예스24는 11일(수) 입장문에서 한국인터넷진흥원(KISA)과 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다”고 발표했으나, KISA는 “전문가들이 10일(화) 및 11일(수) 예스24 본사를 방문했음에도 기술 지원에 협조하지 않았다”는 입장을 밝히며 엇갈린 주장을 보였다.

이에 예스24는 “사고 발생 직후 적법한 신고 등을 진행했으나, 랜섬웨어 공격이라는 특수성상 해커가 외부 반응을 감시하거나 추가 위협을 가할 수 있어 대외적으로 정보 공개 수위와 시점을 신중하게 접근할 수밖에 없었던 점 양해 부탁드린다”며, “그럼에도 고객 여러분께 정확한 정보를 빠르고 올바르게 전해 드리지 못한 점에 대해서 다시 한번 사과드린다. 앞으로 더욱 투명하고 일관된 커뮤니케이션을 위해 최선을 다하겠다”고 덧붙였다.

예스24 홈페이지 랜섬웨어 장애 사고 공식 사과문 / 출처=IT동아

예스24는 13일(금)과 15일(일), 16일(월) 홈페이지 공지사항 및 보도자료를 통해 고객 안내문을 게재했다. 예스24는 “현재까지 파악한 바로는 고객 개인정보 외부 유출 정황은 확인되지 않는다”고 밝히면서, “추가 조사 결과 개인정보 유출이 확인된다면 개인정보 항목(성명, 아이디, 연락처, 주소 등)을 즉시 개별 통지하겠다”고 덧붙였다.

한편, 개인정보보호위원회(이하 개인정보위)도 11일(수)부터 예스24에 대한 개인정보 유출 조사에 착수했다. 개인정보위는 “구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등을 확인해 ‘개인정보 보호법’ 위반 사항이 있는 경우 관련 법령에 따라 처분할 예정”이라고 말했다.

고객 피해 보상안 발표…포인트 지급 등

예스24는 현재까지 개인정보 유출 정황은 없다고 발표했지만, 조사가 아직 진행 중인만큼 향후 실제 유출이 확인될 경우 법적·재정적 피해는 대폭 확대될 수 있다. 예스24는 16일(월) 자사의 홈페이지에 고객 사과문과 함께 고객 피해 보상안을 발표했다.

예스24는 “서비스 중단으로 불편을 겪은 고객에게 서비스 유형별로 적용 가능한 보상 기준을 마련하고 있다. 1차 보상안과 더불어 추가 보상안도 홈페이지로 재안내할 것”이라고 밝혔다. 예스24 관계자는 “정확한 시점은 밝힐 수 없으나 추가 보상안을 마련하고 있다”고 말했다. 주요 보상 내용은 직접적인 포인트 적립 및 금액 보상, 기간 연장 등이다.

예스24 서비스별 상세 1차 보상 안내문 / 출처=IT동아

구체적으로는 회원의 기간 만료된 예스 상품권 및 쿠폰의 기간을 연장하고, 도서 등 제품에 대해 무상 반품, 출고 지연 보상을 제공한다. 이북의 경우 대여 상품의 기간을 5일 연장한다. 티켓 예매 시 정상 관람을 하지 못한 고객에게는 티켓 금액의 120% 환불 보상한다. 다만 예매 취소 건은 20%만 보상한다. 서비스별 보상은 이르면 16일(월)부터 이날 내에 지급이 완료될 예정이다. 한편, 전체 회원 대상으로 적용될 보상도 별도 마련 중에 있다.

예스24는 이번 사태에 대한 대응 조치 및 재발 방지와 함께 보안 강화 방안을 밝혔다. 공식 사과문에서 “KISA 및 외부 보안 전문가와 협력해 침입 경로 등 사고 원인에 대한 정밀 분석을 진행하고, 향후 유사 사안 재발 방지를 위해 전체 시스템 보안 체계를 재점검하겠다. 외부 보안 자문단을 도입하고, 보안 예산을 확대할 것”이라고 밝혔다.

개인정보 보호 강화…추가 피해 최소화해야

개인정보 대량 유출사고 관련 2차 피해 주의보 / 출처=개인정보위

예스24와 정부기관은 해킹 사태로 인한 추가 피해를 줄이고자 고객 권고 조치를 발표했다. 회원은 예스24 또는 금융기관을 사칭한 문자·이메일·전화에 각별히 주의해야 한다. 특히 악성 앱 설치를 유도하는 링크가 심어진 스미싱 문자·미끼 메일은 대규모 해킹 사태 이후 추가 피해를 야기할 수 있으므로, 출처가 불분명한 링크나 첨부파일은 클릭하지 말고 즉시 삭제해야 한다.

비금융기업 서비스를 노리는 사이버 범죄의 급증으로 평소에도 개인정보 강화에 신경쓰는 게 중요하다. 비밀번호를 주기적으로 변경하고, 다른 사이트와 동일한 비밀번호를 사용하는 경우 주기적으로 변경한다. 본인 명의 계좌·카드 발급 내역을 확인해 수상한 내역이 없는지 자주 확인하는 것이 좋다. 만약 피해가 발생하면 KISA, 경찰청 등 관련 기관에 신고한다.

개인정보위는 “최근 랜섬웨어를 이용한 개인정보 유출 사고가 늘고 있는 점을 감안해, 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다”고 강조했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

Copyright © IT동아. 무단전재 및 재배포 금지.