[이코노믹데일리] 국내 최대 규모 인터넷 서점 예스24가 랜섬웨어 해킹 공격으로 서비스가 중단된 지 나흘째를 맞으면서 소비자들의 불만이 폭주하고 있다. 책 주문과 공연 예매 등 모든 기능이 마비된 가운데 예스24 측의 미흡한 대응과 과거 보안 점검 거부 사실까지 드러나면서 사태는 걷잡을 수 없이 확산하는 모양새다.
예스24 앱과 홈페이지는 지난 9일 랜섬웨어 공격으로 서버 설정 파일과 스크립트 파일 등 주요 부문이 손상돼 현재까지 접속이 불가능한 상태다. 백업 서버 역시 활성화되지 않아 복구 작업이 길어지고 있다는 것이 보안 업계의 설명이다. 예스24는 11일 2차 입장문을 통해 "늦어도 일요일(15일) 내에는 정상화될 것"이라고 밝혔지만 소비자들의 불안감은 가시지 않고 있다.
특히 예스24는 초기 대응 과정에서 한국인터넷진흥원(KISA)과의 협력 여부를 두고 사실과 다른 내용을 발표해 거짓 해명 논란에 휩싸였다. 예스24는 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 밝혔으나 KISA는 "11일 오후 10시 현재까지 예스24는 KISA의 기술지원에 협조하지 않았다"고 반박했다. 예스24는 KISA의 반박 이후인 12일 오전에야 기술 지원을 요청한 것으로 알려졌다.
개인정보 유출 여부에 대한 입장 번복도 소비자들의 불신을 키우고 있다. 예스24는 해킹 발생 초기 "개인정보 유출은 없었다"고 공지했으나 개인정보보호위원회가 조사에 착수하자 "향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락을 드리겠다"며 유출 가능성을 시사하는 공지를 올렸다. 현재 경찰과 개인정보보호위원회는 예스24의 개인정보 유출 여부 및 해킹범 추적 등 광범위한 조사에 착수한 상태다.
이번 사태를 두고 업계에서는 예스24의 보안 불감증이 문제를 키웠다는 지적이 나온다. 예스24는 2023년 7월 대한출판문화협회(출협)가 진행한 보안 실태조사 및 모의해킹을 거부했으며 당시 KISA 주관 훈련을 받았다고 해명했으나 KISA는 "예스24가 당시 KISA의 모의해킹 또는 모의훈련에 참여한 기록이 없다"고 밝혀 또다시 거짓 해명 논란이 불거졌다. 잇따른 보안 점검에 불응하고 보안 관리를 소홀히 한 것이 결국 대형 해킹 사고로 이어졌다는 비판이 제기된다.
해킹으로 인한 서비스 중단이 장기화되면서 책 주문은 물론 공연 예매 취소까지 잇따르며 예스24의 신뢰도는 바닥으로 추락하고 있다. 소셜미디어(SNS)에서는 "전자책 사 모은 것 어떻게 되냐", "개인정보 다 털리고 판매 수치도 문제 생길 듯" 등 소비자들의 불안과 불만이 쏟아지고 있다.
예스24 측은 이번 해킹 사고로 피해를 본 고객들을 대상으로 보상안을 마련 중이라고 밝혔으나 성난 민심을 달래기는 쉽지 않아 보인다. 교보문고, 알라딘 등 동종 업계도 이번 사태를 예의주시하며 자체 보안 점검에 나서는 등 긴장하는 분위기다.
댓글 더보기