개인정보위 "비정상적 회원정보 조회 정황 확인"… 유출 시 과징금 가능성
해킹으로 221만 명 개인정보 유출된 골프존은 과징금 75억

[미디어오늘 윤수현 기자]

▲예스24 CI. 사진=예스24

회원 2000만 명이 가입한 인터넷 서점 예스24 랜섬웨어 해킹 사태가 장기화되고 있다. 지난 9일 새벽 시작된 해킹이 닷새째인 13일까지도 정상 복구되지 않은 것이다. 개인정보보호위원회(이하 개인정보위)가 비정상적 회원정보 조회 정황이 확인됐다고 발표한 가운데, 실제 개인정보 유출이 확인될 경우 과징금 등 조치가 내려질 가능성도 있다.

예스24 홈페이지는 지난 9일부터 운영이 중단됐다. 해커가 일부 데이터를 암호화한 뒤 금전을 요구하는 랜섬웨어 해킹 때문이다. 이에 따라 예스24 도서 주문·배송은 물론 공연·예술 티켓 구매 등 서비스도 모두 중단된 상황이다.

개인정보위는 지난 11일 예스24에서 비정상적 회원정보 조회 정황을 확인했다며 조사에 착수했다. 예스24에서 이용자 개인정보 유출이 발생하고, 관리책임이 드러날 경우 과징금 등 조치가 나올 수 있다. 2023년 알라딘 전자책 유출 사건 당시 대한출판문화협회가 시스템 보안 조사를 진행했는데, 교보문고와 리디북스는 이 조사에 참여했지만 예스24는 이를 거부한 것으로 나타났다.

해킹으로 개인정보가 유출될 경우 과징금이 부과되는 사례도 있다. 개인정보위는 지난해 5월 스크린골프회사 골프존에 과징금 75억400만 원을 부과했다. 골프존이 2023년 11월 랜섬웨어 공격을 받았고, 해커가 이용자 221만 명의 정보를 탈취했기 때문이다. 골프존은 서버에 개인정보가 저장됐다는 사실을 몰랐으며, 관리체계 운영도 미흡했다. 랜섬웨어로 이용자 개인정보가 유출된 샤넬코리아·천재교과서·지지옥션 등도 2021년 개인정보위로부터 과징금 총 10억3407만 원을 부과받았다.

▲본 사진은 기사 본문과 관련 없습니다. 사진=Pixabay.

예스24 대응 과정에서도 문제가 불거졌다. 예스24는 해킹 당일인 지난 9일 예스24는 홈페이지 운영을 중단하면서 “더 나은 서비스 제공을 위해 시스템 점검이 진행 중”이라고 공지했다. 해킹 사실을 제때 알리지 않은 것으로, 예스24는 해킹 사실이 외부에 알려지자 공지를 변경해 랜섬웨어 해킹 사실을 알렸다. 예스24는 홈페이지에 안내된 피해 신고·문의 연락처로 통화하면 “조속히 고객센터 오픈 및 서비스 정상화를 위해 최선을 다하고 있다”는 안내만 나올 뿐 연결되지 않는다.

관계당국 비협조 논란도 있다. 예스24는 지난 11일 입장문을 통해 “최고보안책임자 및 관련 부서가 KISA(한국인터넷진흥원)와 협력하여 원인 분석 및 복구 작업에 총력을 다하고 있다” “KISA와 공동 조사를 진행하고 있다”고 했으나 한국인터넷진흥원은 같은날 설명문에서 “분석가들이 지난 10일과 11일 2차례 예스24 본사를 방문했으나 기술지원에 협조하지 않고 있다. 상황을 구두로 공유받은 것 외에는 추가적으로 확인하거나 예스24와 협력해 조사한 사실은 없다”고 했다.

예스24는 지난 12일 한국인터넷진흥원에 기술지원을 요청했으며, 공연 예매 내역 데이터를 복구해 해킹 이전 공연 티켓을 구매한 이용자들이 현장에서 티켓을 수령할 수 있게 했다. 경찰은 예스24 해킹에 대한 내사에 착수했다.

Copyright © 미디어오늘. 무단전재 및 재배포 금지.