KISA에 비협조했음에도 "공동조사 중"
개인정보위, 개인정보 유출 조사 착수

예스24 홈페이지 캡처

2000만 회원을 보유한 국내 최대 규모 인터넷서점 예스24가 랜섬웨어에 걸려 나흘째 먹통 사태가 이어지고 있다. 정보보호당국에 비협조한 사실도 밝혀져 빈축을 사는 가운데, 회사는 개인정보 유출 시 개별 통지하겠다는 공지를 띄웠다.

예스24는 12일 홈페이지에 게시한 고객 안내문에서 "당사가 현재까지 파악한 바로는 고객들의 개인정보 외부 유출 정황은 확인되지 아니했다"며 "향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락 예정"이라 밝혔다.

이 안내문에 따르면 예스24는 지난 9일 오전 4시경 신원 미상 해커로부터 랜섬웨어 공격을 받아 시스템 제어가 어려운 상황이 발생했다. 이틀이 흐른 전날(11일) 오전 3시경 관리자 계정 복구에 성공해 현재는 서비스 정상화 작업을 진행하고 있다.

예스24는 자사 고객들을 안심시키기 위해 이같이 공지했지만 실제 개인정보 유출 여부를 파악하려면 전문적인 조사가 필요하다. 하지만 민간 정보보호 전담기관인 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 이를 위한 기술지원에 나섰음에도 예스24 측이 협조하지 않은 데다 관련 사실을 거짓으로 전달하기까지 해 비판받고 있다.

예스24는 전날 2차 입장문에서 "장애 발생 당일 오후 1시 KISA에 신고한 상태"라며 "권민석 최고보안책임자 및 관련부서가 KISA와 협력해 원인분석 및 복구작업에 총력하고 있다"고 전했다. 또, "랜섬웨어 감염 시, IT기업 중 전문 분석팀을 보유한 경우에는 자사에서 1차 분석 후 KISA와 함께 종합적으로 검토하는 절차를 따르고 있다"며 "해당 절차에 따라 KISA와 공동 조사를 진행하고 있다"고 덧붙였다.

예스24가 절차에 따른 점은 문제될 게 없으나 사안의 심각성에 따라 KISA의 전문 분석가들이 지난 10일과 11일 두 차례에 걸쳐 방문했음에도 도움을 거절한 점이 논란이 되고 있다. 심지어 회사의 입장문 내용과 달리 KISA는 조사 과정에 참여하지 못하고 있다.

이에 같은 날 KISA는 이례적으로 "사실과 다르다"는 공식 입장을 내면서 "첫 현장 출동 시 상황을 구두로 공유 받은 것 외에는 추가적으로 확인하거나 예스24와 협력해 조사한 사실은 없다"고 설명했다. 예스24는 이후 12일 오전에야 KISA에 기술지원을 요청했다.

이 때문에 추가적인 피해 예방을 위해서도 필요한 랜섬웨어 공격 주체·도구 등 관련정보 일체가 현재까지 공유되지 않았다. 그동안 예스24가 해킹사건 축소·은폐에만 급급했던 것 아니냐는 비판이 제기되는 이유다. 회사는 최초 장애 발생 시점에도 단순 접속오류라고 알린 바 있다.

이 가운데 개인정보보호위원회(개인정보위) 또한 전날 오전 예스24로부터 신고를 받고 개인정보 유출 조사에 착수했다. 구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등을 확인해 개인정보보호법 위반 사항이 있는 경우 관련 법령에 따라 처분할 예정이다.

개인정보위 관계자는 "조사에 착수한지 얼마 지나지 않았으므로 아직은 공유할 수 있는 내용이 없다"고 말했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.