【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]쿠팡 사태로 '예스24' 랜섬웨어 뒷전...조사만 9개월째

온카뱅크관리자

2026-03-29 08:07:31

<div id="layerTranslateNotice" style="display:none;"></div> 피해 경위·규모 종합 발표, 제재 수위 결정 계속 미뤄져 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="XhjpCqlwyP">
 (지디넷코리아=박서린 김기찬 기자)예스24 랜섬웨어 해킹 사건이 발생한지 9개월이 지났음에도, 개인정보위원회의 조사가 지연되고 있다. 기술 지원을 나갔던 한국인터넷진흥원(KISA)은 이미 결과 자료를 보냈지만, 피해 경위·규모 종합 발표와 과징금 등 제재 수위 결정이 계속 미뤄지고 있는 것이다. 정부는 지난해 쿠팡 사태 등 잇단 침해사고가 발생하면서 피해 규모나 영향이 큰 사건부터 처리하다 보니 조사 결과 발표가 늦어지고 있다는 입장이다.
 30일 과학기술정보통신부와 KISA에 따르면 이들은 예스24 측에 지난해 6월 발생한 랜섬웨어 관련 해킹 사건 기술 지원 결과 자료를 같은 해 가을경 전달했다.
 당시 예스24는 랜섬웨어 공격으로 인해 닷새간 홈페이지, 스마트폰 앱 접속이 마비됐다가 서비스를 순차적으로 재개했다. 이 때 예스24는 시스템 점검으로 서비스가 일시적으로 제한된다고 공지했으나, 정치권에서 자료를 통해 랜섬웨어로 인한 서비스 장애라는 사실이 밝혀지며 결국 해킹 사실을 시인한 바 있다.
 <figure class="figure_frm origin_fig" contents-hash="ef8c4cd744dabb1cbe671d1a0c6756149f6c831f173f4112c682bf74d77007dc" dmcf-pid="tTEzv9yOCf" dmcf-ptype="figure">
 <img alt="예스24는 지난해 랜섬웨어 공격을 받아 수일 간 서비스가 먹통됐다. 랜섬웨어란 해커가 컴퓨터 시스템에 대하여 사용자가 정상적으로 사용하지 못하도록 만든 후 이를 볼모로 잡고 금전을 요구하기 위해 퍼뜨리는 악성 파일을 뜻한다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080125927fqtg.png" data-org-width="639" dmcf-mid="W73Gc1EoWR" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080125927fqtg.png" width="658">
 <figcaption class="txt_caption default_figure">
 예스24는 지난해 랜섬웨어 공격을 받아 수일 간 서비스가 먹통됐다. 랜섬웨어란 해커가 컴퓨터 시스템에 대하여 사용자가 정상적으로 사용하지 못하도록 만든 후 이를 볼모로 잡고 금전을 요구하기 위해 퍼뜨리는 악성 파일을 뜻한다.
 </figcaption>
 </figure>
 지원 종료 OS 사용 등이 원인 중 하나…백업 시스템 보완 권고
 KISA는 정보통신망법 제48조 3에 따라 침해사고가 발생하면 정확한 원인 분석과 대응조치 방안을 지원한다. 구체적으로 발생 원인 및 침투 경로를 분석하고, 침해사고를 당한 기업에 대응조치 방안을 안내한 후 재발방지를 위해 침해 원인을 제거하는 작업에 착수한다.
 랜섬웨어 피해 당시 예스24는 KISA에 적극 협조하고 있다고 주장했지만, KISA의 기술지원을 거부했던 사실이 뒤늦게 밝혀져 비난을 샀다. 이후 결국 예스24는 KISA의 기술지원을 받았으나, 침해사고 발생 약 9개월이 흐른 현재까지 종합적인 조사 결과를 발표하지 않아 피해 규모나 경위를 파악할 수 없는 상황이다.
 KISA가 전달한 기술 지원 결과 자료에는 사고 신고 시점과 원인, 보완 조치 방안들이 담겼다. 예스24는 사고 발생 당일인 지난해 6월 9일 신고를 접수했으며, 원인은 알려진 바와 같이 랜섬웨어로 밝혀졌다.
 기술 지원이 지난 윈도우 운영체계(OS)를 사용한 것 또한 사고 발생 원인 중 하나로 꼽힌다. 예스24는 윈도우 2018과 윈도우 2012를 병행 사용하고 해왔는데, 이 중 전체 시스템의 5%를 출시 13년이 넘은 윈도 2012로 운영해왔다. 윈도 2012는 2023년 10월 공식 지원이 종료돼 제작사인 마이크로소프트(MS)의 보안 패치 업데이트를 받을 수 없어 사이버 공격에 취약해질 수밖에 없다.
 예스24에 침투한 랜섬웨어는 업무망, 서비스망 등에 접근해 악성코드를 감염시켰다. 당시 예스24는 공격자에게 수십억원 상당의 암호화폐를 지불하는 식으로 서비스를 복구한 것으로 알려졌다. 단, 이에 대한 사실유무를 회사 측이 밝힌 적은 없다. 
 <figure class="figure_frm origin_fig" contents-hash="6d5c5a37f6ac19772b4bdd906ea6fb6a48ee0782f9673473cccac0726256a7e1" dmcf-pid="7P7k6mQ9Cq" dmcf-ptype="figure">
 <img alt="예스24는 지난해에만 두 차례 랜섬웨어 공격을 당해 서비스 장애를 일으켰다. (이미지=클립아트코리아)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080127297tgqc.jpg" data-org-width="639" dmcf-mid="Ysd81MFYTM" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080127297tgqc.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 예스24는 지난해에만 두 차례 랜섬웨어 공격을 당해 서비스 장애를 일으켰다. (이미지=클립아트코리아)
 </figcaption>
 </figure>
 이후 2개월 뒤 예스24는 또 다시 랜섬웨어 공격에 당해 서비스가 마비됐다. 보안업계에 따르면 한 번 랜섬웨어 공격에 타깃이 되고 금전을 지불해 협상에 응하게 되면, 공격자들 사이에서 타깃이 되기 십상이다. 다만 두 번째 공격에서 예스24는 백업 데이터를 통해 7시간 만에 서비스를 복구했다.
 현재까지 상황을 요약하면 예스24는 1차 랜섬웨어 당시 KISA의 기술지원 절차가 완료됐고, 2차 랜섬웨어 때에는 백업 데이터로 복구했다. 서비스를 지속하기 위한 조치는 한 셈이다. 
 그러나 침해사고 과정에서 개인정보 유출이 있었다면, 피해 경위 및 규모 파악 외에도 과징금 부과 등 제재 절차가 남아있다. 과학기술정보통신부 및 개인정보보호위원회 등 유관기관은 침해사고 이후 위법사항이 발견되면 행정조치나 과징금 부과 등 제재를 가한다.
 “침해사고 조사, ‘선입선출’ 아니다…파급 큰 사건부터 해결하느라 지연”
 예스24 랜섬웨어 사태에 대한 기술적인 조치는 마쳤지만, 행정적인 절차는 끝맺음을 짓지 못하고 있다. 지난해 이례적으로 대형 침해사고가 연달아 터지면서 조사 인력 부족, 대형 침해사고 선결 등의 이유로 조사 단계에만 방치된 모양새다.
 개인정보위 관계자는 예스24의 조사 결과 발표 지연과 관련해 “개인정보 유출신고에 대한 조사는 ‘선입선출’ 식이 아니다”라며 “쿠팡이나 KT처럼 사건의 중요도에 따라 먼저 진행하는 식이기 때문에 다른 사건의 경우 조사가 지연되는 경우가 있다”고 밝혔다.
 과기정통부 관계자는 “지난해 통신사 해킹 사태 등과 같이 큰 사고는 대대적인 조사를 통해 조사 결과를 발표한다”면서 “(예스24 랜섬웨어 사태는) 민관합동조사단이 꾸려지지 않아 특별히 조사 결과를 발표하지 않았던 것”이라고 설명했다.
 사안이 큰 침해사고를 우선적으로 조사하기 때문에 조사가 지연되고 있다는 것이 관계부처의 중론이다. 실제 전문가들도 예스24 조사 결과 발표 지연과 관련해 같은 견해를 내비치고 있다.
 <figure class="figure_frm origin_fig" contents-hash="7dfa095783bd99427fe1a5d8f8f75445a393018b8d79ef7160a4905d321b505c" dmcf-pid="f0TQ3dpXTt" dmcf-ptype="figure">
 <img alt="송경희 개인정보보호위원장." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080128624jjrt.jpg" data-org-width="639" dmcf-mid="GIgRUn71yx" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080128624jjrt.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 송경희 개인정보보호위원장.
 </figcaption>
 </figure>
 이용준 극동대 해킹보안학과 교수는 “개인정보위, 과기정통부 등 여러 주무부처가 침해사고 조사 과정에 투입되다 보니 부처 간 합의점을 도출하기까지 시간이 오래 걸린다”며 “지난해 이례적으로 많은 사고가 터지다 보니 개인정보위와 과기정통부에 조사가 많이 밀려 있는 상태”라고 설명했다.
 이 교수는 이어 “뿐만 아니라 조사에 투입되는 인원들이 대형 로펌 등으로 이직하는 경우가 잦아 조사 자체에 투입되는 인력이 부족한 상황”이라면서 “사고 조사에 투입되는 인원들에 대한 증원이 필요한 상황”이라고 말했다.
 익명을 요구한 보안업계 관계자는 “과기정통부나 개인정보위가 쿠팡 사태 조사로 예스24에 대한 관심은 뒷전”이라며 “명확히 구분하면 과기정통부는 침해 경위 등에 대해 조사 결과를 발표하고, 개인정보위는 유출 사실에 대한 위법 사항을 살펴보고 징계를 내리는 부처다. 과기정통부, 사고조사기관, KISA가 합의점을 도출해 침해 경위를 밝히고, 개인정보위 역시 조사를 끝마쳐야 하는데 이런 합의가 미뤄지고 있는 것으로 보인다”고 설명했다.
 <figure class="figure_frm origin_fig" contents-hash="88d46b1bc4d830a3a9dcc5cb2fcaa4375f11311f4414db5525b3aeba035f8a0f" dmcf-pid="P7GeuLztyX" dmcf-ptype="figure">
 <img alt='예스24 최세라(왼쪽), 김석환 각자대표. 두 대표는 사과문에서 "외부 보안 자문단 도입, 보안 예산 증액, 제도 개선 논의 참여 등 전사적 차원의 조치를 약속한다"면서 "이번 사고를 끝까지 책임지고, 더 안전한 디지털 생태계 조성에 앞장서겠다"고 약속했다.(출처=예스24 웹사이트)' class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080129885cojb.jpg" data-org-width="640" dmcf-mid="Hu6SoYaeTQ" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/29/ZDNetKorea/20260329080129885cojb.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 예스24 최세라(왼쪽), 김석환 각자대표. 두 대표는 사과문에서 "외부 보안 자문단 도입, 보안 예산 증액, 제도 개선 논의 참여 등 전사적 차원의 조치를 약속한다"면서 "이번 사고를 끝까지 책임지고, 더 안전한 디지털 생태계 조성에 앞장서겠다"고 약속했다.(출처=예스24 웹사이트)
 </figcaption>
 </figure>
 결국 정확한 침해 경위 파악과 함께 개인정보 유출 시 매겨질 과징금 산정이 남은 절차다. 이 과정에서 짚어야 할 대목은 보안 조치 의무 위반, 개인정보보호법 위반 등의 사항이다.
 현행 정보통신망법은 침해사고 발생 정황 인지 시점 24시간 내에, 개인정보 유출 사실은 유출 시점 인지 72시간 이내 당국에 신고하도록 규정하고 있다. 이를 어길 시 최대 3000만원의 과태료를 부과받을 수 있다.
 예스24 해킹 사건의 경우 개보위 측은 회사의 신고를 받고 조사에 착수했으며, 신고 시점은 지난해 6월 11일이다. 예스24가 사고를 인지했다고 공지한 시간은 6월 9일 새벽 4시경이다.
 개보위 관계자는 “6월 9일은 예스24에서 침해 사고를 인지했다고 주장한 시점”이라며 “기록 등을 보면서 정확한 조사 결과가 나와야 인지 시점이 맞는지 추정해볼 수 있다”고 설명했다.
 예스24는 “(종합)조사 결과 기다리고 있다”며 “조사 결과에 대해 하나하나 이야기하는 것은 맞지 않다. 전체적인 결과를 종합적으로 봐야한다”고 답했다.
 박서린 기자(psr1229@zdnet.co.kr)
 김기찬 기자(71chan@zdnet.co.kr)
 </section> 
 </div> 
 Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기