예스24, 부실·거짓 초기 대응에 '개인정보 유출' 가능성 도마 위

입력 2025-06-12 15:53

안유리 기자 송석주 기자

  • 작게보기

  • 기본크기

  • 크게보기

랜섬웨어 해킹 예스24, 12일 낮부터 KISA와 기술 협력
개인정보 유출 여부 및 해킹 경위 파악 수일 걸릴 듯
"개인정보 유출 안 됐다"…IT 업계 반박 "아직 단정 못 해"

랜섬웨어 해킹 피해로 나흘째 서버 먹통을 겪고 있는 예스24 측이 부실한 초기 대응과 연이은 거짓 입장 발표로 도마 위에 올랐다. 예스24 측은 개인정보 외부 유출 정황은 확인되지 않았고, 이를 한국인터넷진흥원(KISA)이 확인해줬다고 밝혔으나, 그간 KISA의 기술 지원에 협조하지 않았다. IT 전문가들은 아직은 개인정보 유출 여부를 확답할 수 없는 상황이라고 입을 모은다.

12일 KISA에 따르면, 예스24 측은 이날 낮부터 KISA 측 기술 지원에 협조를 시작했다. 당초 KISA 분석가들은 상황 파악을 위해 10일과 11일 2차례 예스24 본사를 방문했으나, 예스24 측은 KISA의 기술지원에 협조하지 않았다. 반면 11일 입장문에서는 "현재 예스24 권민석 최고보안책임자 및 관련 부서가 KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 밝혔다.

그러나 KISA는 11일 밤 이례적으로 늦게 반박 입장문을 발표했다. KISA 관계자는 "2차 입장문에서 저희와 협조하고 있다는 말씀은 명확한 거짓이어서 급하게 입장문을 낸 것"이라며 "오늘(12일) 점심 직전쯤 기술 지원을 받겠다고 말씀 주셔서 지금 세부적으로 협의 중"이라고 말했다.

비정상적인 회원 정보 조회 정황…개인정보위 조사 착수

예스24 측은 앞서 개인정보 유출 정황이 확인되지 않았고 이를 KISA 측이 확인해줬다고 밝혔으나, KISA는 개인정보 유출 여부를 아직 단정 지을 수 없다고 밝혔다. 또 개인정보위원회는 예스24가 11일 오전 신고를 통해 지난 9일 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적인 회원 정보 조회 정황을 확인했다고 밝혔다. 개인정보위는 예스24에 대한 조사에 착수한 상태다.

KISA 관계자는 "(유출 여부를 확인하려면) 그쪽에서 자료를 제공해주거나 열어서 내부적으로 로그를 확인해야 하는데 보지 못했고, 지금 시점에서 뭔가 발견이 됐는지 유출 여부를 말씀드리기는 시기상조"라고 말했다.

예스24 관계자는 본지와 통화에서 "개인정보나 기타 데이터는 별도로 암호화해서 보관한 게 있으나 조회하려는 정황만 있고 로그 기록이나 들어간 흔적은 없기에 유출이 되지 않았다고 발표한 것"이라면서 "현재로서는 전체를 다 가져간 게 아니라 처음 홈페이지에 들어갈 때 필요한 접속 소스를 가져간 것으로 확인된다"고 해명했다.

IT업계 전문가들은 현재 단계에서 개인정보가 유출되지 않았다고 단정할 수 없다고 입을 모은다. 정보 시스템은 다양한 경로가 있으므로 유출 여부를 정확히 판단하려면 모든 경로에 대한 전수 검사가 필요하다. 또 해커가 로그 기록 자체를 지울 수도 있으며, 해커가 지운 흔적이 나중에 포렌식 할 때 드러날 수도 있다. 해킹 시점이 오래되어 로그 기록 자체가 남아있지 않을 가능성도 있다.

염흥열 순천향대 정보보호학과 명예교수는 "유출의 개념을 정확히 정의할 필요성이 있는데, 유출은 데이터가 통제 불가능한 상태에 있어야 하는 것"이라고 말했다. 염 교수는 "포렌식이나 로그 데이터 분석을 해서 정확한 사태 파악이 먼저고, 그다음에 유출 여부를 결정해야 한다"면서 "설령 데이터가 잠겼더라도 개인정보 등 데이터 일부 부분이 손실됐으면 그건 통제 불가능한 상태에 가 있는 것"이라고 부연했다.

"개인정보 유출 여부 판단 쉽지 않아…수일 걸린다"

실무적으로 개인정보 유출 여부 판단 및 정확한 해킹 경위를 파악하는 데는 수일이 걸린다. 앞서 대규모 해킹 사태가 발생한 SK텔레콤의 경우 한 달 반 넘게 조사가 진행되고 있다. SKT 민관합동조사단은 이달 안에 조사 결과를 발표하는 걸 목표로 전수조사를 진행하고 있다. 예스24의 경우 SKT보다 규모가 작지만, 회원 수가 2000만 명에 달하는 만큼 조사에 기간이 오래 걸릴 것으로 추정된다. 익명을 요구한 보안 업계 관계자는 "들어오는 트래픽이 테라 단위일 텐데 조사가 정말 쉽지 않을 것"이라고 말했다.

이날 오전 예스24는 입장문을 통해 "11일 오전 3시경 당사는 관리자 계정 복구에 성공해 현재 서비스 정상화 작업을 신속히 진행하고 있는 중"이라면서 "추가 조사 결과 개인정보 유출이 확인된다면 유출된 개인정보의 항목(성명, 아이디, 연락처, 주소 등)을 즉시 개별 통지 드리겠다"고 밝혔다.

국회에서는 개인정보 유출 사고 관련 기업의 상세 통지를 의무화하고, 정부의 조사 실효성을 강화하는 제도 개선 방안이 논의 중이다. 이해민 조국혁신당 의원은 피해자 개별 통지 및 상세 통지 의무화하는 제도와 함께 정부 조사 방해 사업자에 매출 연동 이행강제금 부과로 조사 실효성 강화하는 개인정보보호법·정보통신망법 개정안을 이날 대표 발의했다.

이해민 의원은 "사고 자체를 완전히 막는 건 어렵더라도, 이용자가 대응할 수 있도록 신속하고 정확하게 알리는 것은 반드시 지켜져야 할 책임”이라며 “정보주체의 권리 보호와 사이버 보안 강화를 위한 제도적 장치 마련이 시급하다"고 말했다.

관련 뉴스
#예스24
안유리 기자의 주요 뉴스
송석주 기자의 주요 뉴스
  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
  • 급등 터진 2차전지! 대세 상승에 올라타나..SK이노베이션과 '이 주식'들 꼭 챙겨보세요 ㅣ 이영훈 iM증권 이사 [찐코노미]
많이 본 뉴스
뉴스발전소
  • 치이카와→태닝 키티→라부부…다음 유행할 인형의 정체는?! [솔드아웃]
  • 치이카와→태닝 키티→라부부…다음 유행할 인형의 정체는?! [솔드아웃]