[일요시사 취재2팀] 박정원 기자 = 국내 최대 온라인 서점이자 티켓 예매 플랫폼인 ‘예스24’가 랜섬웨어 공격으로 인해 닷새째 서비스 마비 상태에 빠진 가운데, 잇따른 ‘허위 공지’ 논란까지 불거지며 사태가 걷잡을 수 없이 확산되고 있다.
2000만명에 달하는 회원들의 불편은 물론, 개인 정보 유출 우려까지 제기되며 소비자들의 불안감도 증폭되는 모양새다.
예스24는 지난 12일 홈페이지에 게시한 고객 안내문서 “현재까지 파악한 바로는 고객들의 개인정보 외부 유출 정황은 확인되지 않았다”면서도 “추가 조사 결과 개인정보 유출 확인 시 개별 연락 예정”이라고 밝혔다.
지난 10일 ‘개인정보 유출은 없었다’고 못 박았으나, 보안 당국이 조사에 나서자 입장을 급선회해 유출 가능성에 대해 언급한 것이다.
그러나 개인정보보호위원회는 같은 날 예스24가 “비정상적인 회원 정보 조회 정황을 확인했다”며 유출 신고를 해왔다고 밝혀, 예스24의 주장이 사실과 다르다는 점을 명확히 했다.
뿐만 아니라 예스24는 한국인터넷진흥원(KISA)과 협력해 사고 원인을 분석하고 있다는 입장을 밝혔으나, KISA는 예스24가 기술 지원 요청에 협조하지 않고 있다고 반박하며 또 다른 허위 공지 논란을 야기했다.
KISA는 “사고 분석을 위해 직원을 두 차례 파견했으나, 예스24 측이 기술 지원에 협조하지 않아 접근을 허용하지 않았다”고 반박했다. KISA 전문가들이 이틀 내내 본사에서 대기했지만 사실상 헛걸음을 했다는 게 KISA의 설명이다.
이처럼 초기 대응부터 사고 수습 과정에 이르기까지 예스24가 정보 공개에 소극적인 태도를 보이면서, 소비자들의 불신은 더욱 커지고 있다. 특히, 서비스 중단 장기화로 인해 e북 열람 불가, 팬 사인회 취소, 팬미팅 예매 연기 등 소비자 피해가 속출하고 있어 비판이 고조되는 분위기다.
예스24를 향한 불신은 내부서도 터져 나왔다.
13일 직장인 커뮤니티 ‘블라인드’에는 한 예스24 직원이 “우리한테도 솔직하게 말 안 해준다. 힘들다. 우리도 기사 보면서 놀라고 있다”며 “내부적으로는 복구에 최선을 다하고 있고 곧 (복구)된다고 전달받았다. 다만, 신뢰를 잃을 만한 처리 방식이 나도 안타깝다”고 탄식했다.
더욱 심각한 문제는 이번 랜섬웨어 공격의 특성상 데이터 복구가 쉽지 않다는 점이다.
보안 전문가들은 랜섬웨어 감염 시 해커가 보유한 복구 키가 없으면 데이터 복구가 사실상 불가능하며, 백업 시스템마저 감염될 경우 상황은 더욱 악화될 수 있다고 경고한다.
과거 웹호스팅 업체 ‘인터넷 나야나’가 랜섬웨어 공격으로 막대한 피해를 입고 해커에게 거액의 몸값을 지불한 사례는, 이번 예스24 사태의 심각성을 더욱 부각시키고 있다.
지난 2023년에는 골프존이 랜섬웨어 공격에 당해 수백만명의 개인정보가 다크웹에 공개되는 전례도 있던 터라, 소비자들의 불안은 한층 더 불 지펴지고 있는 상황이다.
당시 골프존도 사태 초기 “랜섬웨어에 따른 서버 디스크 파손으로 골프존 웹·앱·점포 운영 사이트 등의 정상 운영에 어려움을 겪고 있다”면서도 “랜섬웨어를 통한 골프존 회원의 개인정보 유출은 없다”고 공지했었다.
하지만 이후 랜섬웨어 그룹의 다크웹 웹페이지에 골프존의 데이터들이 버젓이 공개됐고, 해당 파일 내에는 수백만명의 개인정보가 포함돼있었다.
결국 골프존은 해당 사실이 밝혀지자 개인 정보 유출을 공식 인정하며 “당사의 서버가 전문 해커로 추정되는 공격자에 의해 랜섬웨어 감염으로 고객의 일부 정보가 유출되는 상황이 발생했다”며 “현재까지 파악된 바에 의하면 해커가 당사가 관리하던 파일을 탈취했고 해당 자료에 귀하의 성함과 휴대전화번호가 포함된 것으로 파악된다”고 안내했다.
예스24 홈페이지는 현재 별도의 공지문이 띄워진 것 외에는 홈페이지 이용이 여전히 막혀 있다. 15일까지 서비스 정상화를 목표로 KISA와 협조에 들어갔지만, KISA 관계자는 “확인해야 할 사항이 많아 시간이 걸릴 것”이라고 밝힌 만큼 정상화에는 다소 시간이 걸릴 것으로 보인다.
익명을 요구한 한 보안 전문가는 “만약 예스24가 백업 시스템을 망 분리 없이 운영했다면, 백업 데이터마저 랜섬웨어에 감염됐을 가능성이 높다”며 “이 경우 데이터 복구는 극히 어려워질 수 있으며, 최악의 경우 모든 데이터를 잃게 될 수도 있다”고 우려를 표했다.
이 전문가는 “백업본만 있어도 사이트 특성상, 이미지와 텍스트가 대부분이라 24시간 내로 복구가 완료돼야 하는데, 아직까지 복구가 이뤄지지 않았다면 백업 시스템에 문제가 발생했거나, 혹은 예상보다 랜섬웨어 감염 범위가 훨씬 더 넓다는 것을 의미한다”고 분석했다.
다른 전문가는 “복구하면 되긴 하지만 복구 시점이 불완전 복구라서 매출 데이터 유실되는 문제, 각 PG사 결제 연계 동기화 등 풀어야 할 문제가 많다”며 “DB만 랜섬웨어에 감염된 게 아니라 모든 WEB, WAS 서버가 다 감염된 거라면 사태가 심각한 수준일 것”이라고 전망했다.
이번 사태는 단순 서비스 장애를 넘어 복합적인 법적 책임 문제로까지 번지고 있다. 특히, 사태 초기 예스24의 미흡한 대처와 사실과 다른 해명은 법적 책임을 더욱 가중시킬 수 있다는 지적이 나온다.
법조계에 따르면 예스24는 회원들의 개인정보를 안전하게 보호하고, 문제 발생 시 정확한 정보를 제공해야 할 계약상의 의무를 가진다.
정보통신서비스 제공자는 이용자의 개인정보가 훼손되지 않도록 안전성 확보에 필요한 보호조치를 취해야 할 계약상 의무를 부담해야 한다. 백업 서버 관리 소홀과 초기 대응 과정서의 미흡함은 계약 의무 위반에 따른 손해배상 책임으로 이어질 수 있다.
형사적인 책임도 간과할 수 없다. 현행 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법)은 기업의 보안 의무를 엄격히 규정하고 있다. 기술적·관리적 조치를 소홀히 해 이용자에게 손해를 입히면 처벌하도록 규정하고 있기 때문이다.
만약 개인정보 유출 사실을 인지하고도 고의로 늦게 알리거나 거짓으로 통지했다면 ‘개인정보 보호법’ 위반으로 추가적인 처벌을 받을 수 있다.
개인정보보호위는 이미 개인정보 유출 여부에 대한 조사에 착수한 상황이다. 조사 결과 법 위반 사실이 확인될 경우, 예스24는 막대한 규모의 과징금을 부과받을 수 있다. 공정거래위원회 역시 ‘전자상거래법’에 따라 소비자에게 허위 정보를 제공한 행위에 대해 시정명령이나 과징금을 부과할 가능성도 크다.
허위 공지와 보안 소홀함으로 소비자 신뢰가 깨진 상황서, 복구 이후 법적 책임까지 더해진다면 예전 같은 위치로 돌아가기 어려울 것이라는 게 업계의 공통된 전망이다.
한 업계 관계자는 “예스24는 복구도 복구지만 소비자와의 신뢰 회복이 우선”이라며 “허위 공지로 인해 소비자가 ‘기업을 믿을 수 없다’고 생각하는 상황서, 단순히 서비스가 돌아온다고 해서 문제가 끝나지 않는다”고 지적했다.
그러면서 “무엇이 잘못됐는지 명확히 인정하고, 피해 회원에 대한 실질적 보상과 향후 보안 개선 계획을 공개해야 한다”며 “소비자와의 신뢰 관계를 먼저 고치지 않으면 예전 같은 위치로 돌아가기 어려울 것”이라고 강조했다.
<jungwon933@ilyosisa.co.kr>
