"거짓말 또 들켰다"… 문제없다더니 보안 구멍 '숭숭' 난 예스24[은폐⑮]

거짓말 또 들통난 예스24
KISA 모의훈련 받았다는 주장에
"예스24는 참여기록 없어" 반박

랜섬웨어 공격으로 나흘째 서비스가 중단된 예스24 가 2년 전 대한출판문화협회(출협)의 보안조사뿐 아니라 한국인터넷진흥원(KISA)의 모의훈련에도 응하지 않은 것으로 드러났다. 잇단 점검에 불응하고 보안관리를 소홀히 한 것이 사고를 불렀다는 지적이 나온다.

12일 아시아경제 취재를 종합하면 예스24는 2023년 7월 출협이 진행한 보안 실태조사 및 모의해킹을 거부한 이유에 대해 "KISA 주관 훈련을 이미 받았고, 문제가 없다는 결론이 나와서 출협의 조사는 받지 않았다"고 밝혔다. 하지만 KISA는 "전 본부를 대상으로 전수조사한 결과 예스24가 당시 KISA의 모의해킹 또는 모의훈련에 참여한 기록이 없다"고 반박했다.

앞서 출협은 2023년 5월 알라딘 전자책 해킹사고를 계기로 보안업체와 전문가로 구성된 '알라딘 전자책 유출 피해 및 전자책 보안 실태조사단'을 구성했다. 조사단은 예스24를 제외한 인터넷서점을 대상으로 모의해킹을 포함한 보안 실태조사를 진행했다. 출협 관계자는 "예스24는 조사를 거부했지만 알라딘·교보문고·리디북스 같은 다른 인터넷서점은 모두 조사를 받았다"고 했다.

또한 예스24는 전날 발표한 2차 입장문에서 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"고 발표했으나 KISA는 이 발표가 당시 상황과 다르다는 입장을 표했다. KISA 소속 랜섬웨어 전문 분석가들이 사고 파악을 위해 지난 10~11일 2차례 예스24 본사로 방문했지만 예스24는 KISA의 기술지원에 협조하지 않았다는 것이다. 거짓말이 들통났다는 비난이 쇄도하자 예스24는 12일 오전 11시30분께 KISA에 기술지원을 요청했다.

보안업계에서는 이같이 저조한 보안의식이 해킹 공격을 불렀다고 짚었다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장(이노티움 대표)은 "예스24 해킹사고는 전형적인 랜섬웨어 공격"이라며 "2년 전 출협의 보안점검을 받았다면 랜섬웨어 공격을 비껴갈 수도 있었을 것"이라고 했다.

보안업계 관계자는 "대부분 업계가 보안투자에 인색한 것이 사실이지만 도서 관련 업체들은 유독 심하다"고 했다. 그러면서 "당사가 보안솔루션을 공급할 때도 가격을 계속해서 깎아달라고 하거나, 비용 부담을 줄이기 위해 기능을 빼자고 한다"며 "보안의식이 낮으니 랜섬웨어 감염에 취약할 수밖에 없다"고 했다.

아시아경제는 지난달 26일부터 해킹을 당해도 신고 안 하는 기업들의 실태를 추적한 '은폐' 시리즈를 보도하고 있다.

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹을 당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 입고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

전영주 기자 ange@asiae.co.kr