한국정보기술진흥원
한국정보기술신문
thumbnail

정보보안 · 유관기관 ·

국내 1위 인터넷서점 예스24, 랜섬웨어 인질극으로 ‘올스톱’

발행일
읽는 시간4분 5초

개인정보 유출 의혹‧서비스 중단‧업계 연쇄 혼란… 6월 9일 새벽부터 이어진 파장

[한국정보기술신문] 6월 9일 새벽 4시, 예스24의 웹·모바일·e북·티켓 서비스가 동시에 끊겼다. 고객들은 홈페이지에 503 오류만 확인했으며, 회사 측은 “시스템 장애”라는 짧은 안내만 남겼다. 첫 24시간 동안 복구 전망조차 제시되지 않아 소비자 불안이 증폭됐다.

도서 주문·배송, 공연 예매, e북 열람, 심지어 기업 홈페이지까지 전부 멈췄다. 전면 중단은 창사 이후 처음이었다. SNS 댓글창엔 “이 정도면 서버가 날아간 것 아닌가”라는 의심이 잇따랐다.

예스24는 당일 오후 늦게야 “복구에 최선을 다하고 있다”는 공지를 SNS에 게시했다. 그러나 장애 원인에 대해선 ‘기술적 오류’라며 구체 설명을 피했다. 소비자와 업계에는 소문만 무성해졌다.

사이트 먹통은 48시간이 넘어도 풀리지 않았다. 커뮤니티에는 “랜섬웨어·DB 삭제”설이 돌았다. 티켓 예매 고객은 공연일이 임박해도 예매 내역을 확인할 수 없게 됐다.

9일 밤 이베스트증권 애프터마켓에서 예스24 주가는 3% 하락했다. 모회사 한세예스24홀딩스도 동반 약세를 기록했다. 업계 관계자는 “장애가 하루만 넘어도 정산‧판매 차질이 불가피하다”고 우려했다.

한국인터넷진흥원(KISA)은 “해킹 의심 정황이 있으면 즉시 신고해야 한다”고 밝혔다. 그러나 예스24는 “장애 원인을 조사 중”이라는 입장만 반복했다.

랜섬웨어 사실 인정, 뒤늦은 ‘사실상 최초 보고’

image.png
예스24 홈페이지 공지사항

10일 오후, 국회 과방위 소속 최수진 의원실은 “예스24가 KISA에 랜섬웨어 피해 사실을 신고했다”고 폭로했다. 내부 문건에 따르면 회사는 이미 9일 오후 공격을 인지해 신고했지만 고객 안내에선 침묵했다. 고객들은 ‘점검’ 공지를 보고 단순 장애로 여겼던 셈이다.

여론이 악화되자 예스24는 10일 저녁 뒤늦게 “랜섬웨어 감염으로 서비스가 중단됐다”고 시인했다. 회사는 “개인정보 유출·유실은 없으며 데이터는 정상 보존 중”이라고 강조했다. 다만 복구 예상 기간은 밝히지 않았다.

랜섬웨어 공격 직후 해커는 암호화된 데이터 해제를 조건으로 금전을 요구한 것으로 전해졌다. 예스24는 “해커와의 협상 여부는 밝히기 어렵다”고 답했다. 시장에선 대규모 몸값 요구 가능성을 제기했다.

IT 보안업계는 “백업망까지 암호화됐을 때 복구에는 최소 5~7일”이라고 설명했다. 실제로 예스24는 백업자료 복원과 체계 재설치를 병행한다고 밝혔다. 그러나 소비자는 연일 “왜 공지를 늦췄느냐”는 질문을 쏟아냈다.

11일 새벽 JTBC 단독보도로 경찰 사이버수사대가 내사에 착수한 사실이 알려졌다. 사태는 단순 기술장애를 넘어 ‘보안 사고 은폐’ 논란으로 번졌다.

KISA는 “예스24 협조가 미흡해 현장 분석이 지연되고 있다”며 이례적 반박 자료를 발표했다. 반면 예스24는 “KISA와 공동 조사 중”이라고 주장해 진실 공방이 일었다.

개인정보 유출 의혹‧기관 조사 확대

image.png
예스24 공식 X (구 트위터)

11일 밤, 예스24는 “데이터가 정상 보존됐다”고 재차 공지했지만, 같은 시간대 개인정보위는 “유출 정황 신고가 접수됐다”고 밝혔다. 소비자는 회사 해명이 또 바뀐다며 불신을 드러냈다.

개인정보위에 따르면 예스24는 9일 랜섬웨어 보고 과정에서 ‘비정상적 회원 정보 조회 흔적’을 언급했다. 그러나 이를 고객에게 알리지 않았다. 법에 따르면 72시간 내 신고·통지가 의무지만 예스24는 외부 고지는 늦췄다.

12일 오전, 예스24는 3차 입장문을 통해 “유출 정황은 없지만 만약을 대비해 주의해 달라”고 공지했다. 동시에 고객센터 전화는 여전히 연결되지 않아 항의가 폭주했다.

KISA·개인정보위·경찰 세 곳의 합동 조사 가능성도 제기됐다. IT 법조계는 “랜섬웨어 대응 매뉴얼 미준수, 신고 지연, 은폐 시도 등이 사실로 확인되면 과징금과 형사책임을 피하기 어렵다”고 전망했다.

업계에서는 “전자상거래·공연 티켓·전자책 정보를 한곳에 보유한 기업이 리스크 관리에 소홀했다”는 비판이 나왔다. 특히 크레마 eBook DRM 시스템이 한꺼번에 마비된 점이 논란이 됐다.

소비자단체는 집단분쟁조정과 손해배상 청구를 준비 중이다. 피해 신고 창구에는 이틀 만에 1만 건 이상의 문의가 접수됐다.

전자책·출판·공연계 연쇄 충격

image.png
KISA의 예스24 2차 입장문에 대한 설명

eBook 이용자는 DRM 서버가 죽으면서 구매한 책을 열람하지 못했다. “평생 소장”을 믿고 전자책을 구매한 독자들은 ‘디지털 소유권 환상론’에 분노했다. SNS에선 “종이책만이 답”이라는 해시태그가 확산했다.

출판사는 B2B 공급망 시스템(SCM) 접속이 막혀 도서 주문·재고 관리가 멈췄다. 대형 출판사조차 메일·팩스로 주문을 주고받는 ‘1990년대 방식’으로 회귀했다. 6월 정산 지연은 물론 7월 신간 유통까지 차질이 예고됐다.

공연계도 혼돈에 빠졌다. 예스24는 티켓 시장점유율 1~2위를 다투는 플랫폼으로, 예매자 명단이 암호화돼 공연장 입장 확인이 불가능해졌다. 일부 공연은 현장 수기 확인으로 입장 절차를 마련했으나 “신분 확인이 안 돼 관람 못 했다”는 민원이 속출했다.

팬사인회·콘서트 티켓 오픈 일정은 줄줄이 연기됐다. 아이돌 팬덤은 “컴백 초동 판매량에 직격탄”이라며 분통을 터뜨렸다. 공연 기획사도 티켓 판매 정산이 밀려 현금 흐름이 막혔다고 하소연했다.

금융권은 예스24 카드 결제 정보를 주시했다. 아직 결제망 유출 사례는 보고되지 않았으나, 일부 소비자는 카드 재발급을 요청했다. 전자상거래 해킹이 카드 위·변조로 이어진 사례가 있어 경계를 늦추지 않는 모습이다.

경쟁 서점 알라딘·교보문고는 비상 점검에 돌입했다. 알라딘 관계자는 “백신 업데이트와 로그 모니터링을 강화했다”고 밝혔고, 교보문고도 “별도 백업망 점검과 모의 침투테스트를 진행 중”이라고 전했다.

서비스 재개, ‘부분 복구·수작업’의 현실

사태 발생 닷새째인 13일 오후 4시 40분, 예스24 웹사이트가 부분적으로 열렸다. 도서·음반 단품 구매와 현장 티켓 예매 조회만 먼저 가능해졌다. 전자책 웹서재, 리뷰, SCM 시스템 등 핵심 기능은 ‘이용 불가’ 표시가 유지됐다.

회사는 “백업 데이터를 기반으로 복원 중이며 15일 이내 순차 복구하겠다”고 발표했다. 또 “전 회원·협력사 보상안을 마련해 개별 통지하겠다”고 약속했다. 보상 기준과 금액은 아직 공개되지 않았다.

복구 직후에도 결제 오류, 주문 내역 누락, 중복배송 사례가 보고됐다. 고객센터는 콜 대기만 길어져 SNS 실시간 문의가 폭주했다. 예스24 직원은 “DB 검증과 결제 무결성 체크에 시간이 걸린다”고 해명했다.

14일 오전 열릴 금성산 ARDF 전국대회 참가자 가운데 예스24를 통해 티켓팅한 동호인은 “예매내역 출력이 안 돼 수기 확인이라 불안하다”고 말했다. 현장 주최 측은 별도 출입 절차를 준비 중이다.

전문가들은 “해커 몸값 요구에 응하지 않고 백업으로 복구하는 건 바람직하지만, 유출 여부를 조속히 투명하게 공개했어야 했다”고 지적한다. 또한 “백업망 망분리, 다중 로그인 감시, 랜섬웨어 격리 프로토콜을 미리 구축했어야 했다”고 입을 모았다.

결국 예스24 사태는 대형 플랫폼도 단 하루 만에 ‘올스톱’될 수 있다는 사실을 보여줬다. 디지털 의존도가 높아진 시대, 소비자와 기업이 함께 보안 리스크를 재점검할 계기로 삼아야 한다는 목소리가 커지고 있다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org