랜섬웨어 감염으로 두 달 만에 서비스가 먹통됐던 예스24가 지난 첫 해킹 사고 때 백업망까지 랜섬웨어에 감염됐음에도 이를 숨긴 것으로 확인됐다. 랜섬웨어는 컴퓨터 시스템을 사용자가 사용하지 못하도록 만든 후 이를 볼모로 금전을 요구하기 위해 퍼뜨리는 악성 파일이다.
당시 회사는 “(랜섬웨어 해킹 피해를 입었지만) 서버 백업이 완료돼 있어 이를 바탕으로 복구작업을 진행하고 있다”고 밝혔지만, 실제로는 백업 데이터 접근이 어려웠거나 불가능했을 것으로 추정된다.
또 예스24는 피해 규모가 컸던 1차 해킹 사태 때는 보상안을 내놨지만, 이번 2차 피해 보상안 관련해서는 별다른 입장을 내지 않고 있다. 소비자 신뢰 회복을 약속했던 대표이사 공식 사과도 없었다. 회사 측은 "피해 보상과 관련해 현재 결정된 것은 없다"는 입장이다.
두 달만에 재발한 랜섬웨어 해킹 사고...7시간 만에 서비스 복구
예스24는 지난 11일 새벽 4시30분 경 랜섬웨어 방식의 해킹 공격으로 서비스 접속 장애가 약 7시간 가량 이어졌다. 홈페이지와 앱은 이날 오전 11시 30분경 다시 복구됐다. 불과 두 달 만에 예스24는 또다시 랜섬웨어 공격으로 홍역을 치뤘다.
이 때 예스24는 "혹시 모를 가능성에 대비해 시스템을 긴급 차단해 추가 피해를 방지하고 보안 점검 및 방어 조치를 시행하고 있다"며 공지했다. 또 "백업 데이터를 통해 서비스를 빠르게 복구 중"이라고 안내했다.
지난 6월 처음 랜섬웨어 공격을 받았을 당시 예스24는 5일 간 서버 장애를 겪었으며, 티켓 정보를 확인할 수 없었던 일부 공연의 경우 진행과 예매가 취소되며 이용자 불편을 초래했다. 도서 고객도 주문한 책을 제 기간에 받지 못했다.
2차 해킹 사태 복구 과정에 대해 예스24는 “랜섬웨어 공격이 있었고 동시에 이를 차단했다”며 “백업 데이터도 있었고, 문제가 없는지 점검하고자 서비스를 중단했다. 이후 점검을 거쳐 서비스를 재개하는 과정에서 시간이 소요된 것”이라고 설명했다.
백업 데이터로 복구하겠다더니…알고보니 업무망·서비스망·백업망 다 감염
이번 두 차례의 예스24 해킹 사고와 관련해 한국인터넷진흥원(KISA)은 실태 조사를 위해 현장조사를 벌이기도 했다. 구체적인 피해 원인과 범위 등은 아직 조사 중인 것으로 알려졌다.
다만 지난 1차 해킹 사고 당시 예스24 공식 입장과 대응에는 여전히 여러 의혹이 풀리지 않고 있다. 특히 백업 데이터가 있어 이를 바탕으로 서비스를 복구 중이라는 당시 회사 측 설명도 거짓이었던 것으로 보인다. 정부 측 설명에 따르면, 당시 예스24는 백업망까지 랜섬웨어에 감염돼 접근이 어려웠기 때문이다.
이번 해킹 사건 조사를 담당하는 과학기술정보통신부 관계자는 “이번 주 발생한 해킹 사건은 아직 조사 진행 중”이라며 “(1차 해킹 사태가 일었던) 6월에는 (해커가 예스24의) 업무망, 서비스망, 백업망까지 접근해 (랜섬웨어를) 감염시켰다”고 밝혔다.
이어 “백업이 있더라도 랜섬웨어에 감염시켜버리면 끝”이라며 “6월 해킹 사건 조사 과정에서 나왔던 보안 미비점에 대해 조치를 취하도록 이야기했고, 그 결과 이번에는 그쪽(백업망)까지는 감염이 안됐고 서비스망만 감염이 돼 빠르게 복구할 수 있었다”고 설명했다.
이는 당시 예스24가 내놓았던 주장과는 전혀 상반된다. 예스24는 지난 6월 12일 발표한 2차 사과문에서 “현재 조사 결과 주요 데이터 일체의 유출이나 유실이 발생하지 않았으며 정상적으로 보존된 상태임을 확인했다”며 “또한 서버 백업이 완료돼 있어 이를 바탕으로 복구 작업을 진행하고 있다”고 알렸다. 그러나 당시 보안·개발 전문가들은 백업 데이터가 있다면 서비스 재개가 그렇게 지연될 이유가 없다며, 예스24의 대응 방식과 느린 복구 속도에 의구심을 드러낸 바 있다.
예스24가 랜섬웨어 해킹 사건 해결 과정에서 거짓말 논란에 휩싸인 건 이번이 처음이 아니다. 앞선 6월 예스24는 랜섬웨어에 의한 해킹이라는 사실을 뒤늦게 알려 늑장대응으로 비판을 받기도 했으며 KISA와의 협업 사실은 KISA 측에서 전면 부인하며 거짓 해명 논란을 빚기도 했다.
이후 지원이 종료된 운영체제(OS) 사용이 랜섬웨어 감염의 원인으로 지목됐으며, 해커에게 수십억원에 달하는 비트코인을 주고 랜섬웨어 사태를 해결한 것이란 언론 보도가 나오기도 했다.
2차 해킹 피해 보상안은?…“공식적으로 나온 것 없어”
해킹 피해 이후 서버가 복구된 지 수일이 지났음에도 예스24는 이번 홈페이지, 앱 마비 사건에 대한 별다른 보상안을 제시하지 않고 있는 상황이다.
예스24 관계자는 보상안과 관련해 “공식적으로 나온 것은 없다”며 “통상적으로 공연은 오후에 많이 진행돼 이번에는 피해를 입은 공연이 없는 것으로 안다”고 답했다.
보상안 마련에 미온적인 반응을 보이는 것은 지난번 사태와는 대조된다. 지난 6월 사태에는 13일 서비스가 일부 복구된 후 3일이 지난 16일에 1차 보상안을 발표했다. 다음날인 17일에는 2차 보상안을 발빠르게 발표하기도 했다.
1차 보상안에는 무상 반품과 함께, 포인트 2천 점에 해당하는 출고 지연 보상, 공연을 제대로 관람하지 못한 고객을 대상으로 티켓 금액 120% 환불 등의 내용이 담겼다. 2차에는 전체 회원을 상대로 YES상품권 5천 원권과 크레마클럽 무료 이용권(30일) 지급 등의 보상안을 마련했다. 온라인 상품 구매 회원은 무료 배송 쿠폰 1장을, 이(e)북 구매 회원은 이(e)북 전용 YES상품권 5천원을 받았다.
예스24 과실 입증 시 보상받을 수 있다
예스24에서는 대책 마련에 미온적이지만, 보상받을 수 있는 가능성은 열려있다.
공정거래위원회 전자상거래 표준약관 제5조 2항에 따르면 전자상거래업체는 정보통신설비의 보수점검·교체 및 고장, 통신의 두절 등의 사유가 발생한 경우 서비스의 제공을 일시 중단할 수 있다고 규정하고 있다. 이같은 사유로 서비스 제공이 일시적으로 중단될 경우 이용자 또는 제3자가 입은 손해에 대해 배상해야 한다고 명시하고 있다.
관련기사
- "북캉스에 딱"...예스24가 추천하는 휴가철 어울리는 소설·시2025.08.13
- 예스24 ‘보안 무감각’이 만든 두 번째 굴욕2025.08.12
- 예스24, '해킹 맛집' 오명…왜 또 먹통됐나2025.08.11
- ‘두 달만에 다시 먹통’ 예스24, 홈페이지 복구2025.08.11
다만, 전자상거래업체가 고의 또는 과실이 없음을 입증하면 보상을 하지 않아도 된다고 안내하고 있다. 예스24는 사업영역을 전자상거래로 신고한 상태다.
법무법인 위민 이주한 변호사는 “회사에서 피해를 방지하기 위해 어떤 장치를 해뒀는지와 어떤 절차를 수립했는지, 어떤 노력을 했는지에 대한 자료가 있다면 (공정위가) 노력했다고 판단할 수 있다”며 “그러나 시정을 해야함에도 불구하고 아무런 조치를 하지 않았다면 노력을 안했다고 볼 수 있다”고 말했다.
