예스24 랜섬웨어 사태: 위기관리 실패의 전형적 사례

예스24 랜섬웨어 사태: 위기관리 실패의 전형적 사례

2025년 6월 9일 새벽, 국내 최대 온라인 서점 예스24가 랜섬웨어 공격을 받으며 시작된 이번 사태는 단순한 해킹 사건을 넘어 기업의 위기관리 능력과 투명성에 대한 근본적 문제를 제기하고 있다. 사건 발생 후 일주일이 지난 현재까지도 완전한 복구가 이뤄지지 않고 있는 이 상황을 종합적으로 분석해본다.

현재 상황: 서비스 마비 장기화

예스24는 랜섬웨어 공격으로 인해 메인 서버뿐만 아니라 백업 서버까지 암호화되면서 전면적인 서비스 장애를 겪고 있다. 약 2,000만 명의 회원을 보유한 플랫폼의 서비스 중단은 단순히 도서 구매에만 국한되지 않는다. 티켓 예매, 전자책, 전자도서관 서비스까지 모두 마비되면서 공연계와 출판업계 전반에 파급효과가 이어지고 있다.

특히 대학로 소극장 공연과 각종 팬미팅 등 예스24 티켓 서비스에 의존하던 공연업계의 피해가 심각한 상황이다. 고객센터마저 정상 운영되지 않아 소비자들의 불편은 가중되고 있으며, 6월 8일 주문 물량 중 일부가 취소되는 등 실질적 피해도 발생하고 있다.

문제의 핵심: 초기 대응의 참담한 실패

은폐와 지연, 신뢰 추락의 시작

이번 사태에서 가장 심각한 문제는 예스24의 초기 대응이다. 6월 9일 새벽 랜섬웨어 공격이 발생했음에도 불구하고, 예스24는 36시간 동안 "시스템 점검" 또는 "기술적 오류"라며 해킹 사실을 은폐했다. 국회 의원실의 폭로와 언론 보도를 통해 랜섬웨어 공격 사실이 알려진 후에야 이를 인정한 것이다.

이러한 초기 대응은 고객과 이해관계자들의 신뢰를 근본적으로 훼손했다. 투명한 정보 공개는 위기 상황에서 기업이 지켜야 할 가장 기본적인 원칙임에도 불구하고, 예스24는 이를 완전히 무시했다.

정부 기관과의 협력 거부: 자충수가 된 독단적 판단

더욱 심각한 것은 한국인터넷진흥원(KISA) 등 정부 보안 당국의 지원을 거부한 것이다. KISA는 6월 10일과 11일 두 차례에 걸쳐 전문가를 파견했으나, 예스24가 "복구 작업에 경황이 없다"며 시스템 접근을 허용하지 않았다.

그럼에도 불구하고 예스24는 공식 입장문에서 "KISA와 협력 중"이라고 허위 발표를 했고, 이에 KISA가 즉각 반박 성명을 내는 초유의 사태가 벌어졌다. 결국 사태가 악화된 6월 12일에야 뒤늦게 KISA의 기술 지원을 요청했지만, 이미 골든타임은 놓친 상황이었다.

기술적 문제: 보안 체계의 구조적 결함

백업 시스템마저 뚫린 보안 허점

랜섬웨어 공격 자체도 문제지만, 더 심각한 것은 백업 서버까지 암호화되었다는 점이다. 일반적으로 랜섬웨어 공격에 대비한 가장 기본적인 방어책은 분리된 백업 시스템 운영인데, 예스24는 이마저도 제대로 갖추지 못했던 것으로 보인다.

이는 단순한 기술적 실수가 아니라 보안 관리 체계 전반의 허점을 드러낸다. 메인 서버와 백업 서버가 동시에 공격받을 수 있는 구조라는 것은 근본적인 보안 설계 결함을 의미한다.

과거부터 반복된 보안 사고

예스24는 2016년과 2020년에도 개인정보 유출 및 보안 법령 위반으로 과태료를 부과받은 전력이 있다. 또한 2023년에는 해킹 경유지로 악용된 사례도 있었다. 이는 예스24의 보안 관리가 지속적으로 취약했음을 보여주는 증거다.

ISMS-P, ePRIVACY PLUS 등의 보안 인증을 보유하고 있다고 주장하지만, 실제 보안 수준은 이를 뒷받침하지 못하고 있다. 보안 전문가들은 "인증 취득이 곧 실질적 보안을 보장하는 것은 아니다"라고 지적한다.

소비자 관점에서 본 기업 대응의 문제점

정보 제공의 부실함

소비자들이 가장 분노하는 부분은 정확한 정보를 제공받지 못했다는 점이다. 해킹 사실을 숨기고 "시스템 점검"이라고 안내한 것은 소비자의 알 권리를 침해한 행위다. 특히 개인정보 유출 가능성에 대해서도 명확한 답변을 하지 않고 있어 불안감이 가중되고 있다.

고객센터 운영 중단의 심각성

더욱 문제가 되는 것은 고객센터마저 정상 운영되지 않고 있다는 점이다. 서비스 장애 상황에서 고객 문의와 불만 처리는 가장 우선적으로 해결해야 할 과제임에도 불구하고, 예스24는 이를 방치하고 있다. 이는 고객 중심 경영에 대한 기본적 인식 부족을 드러낸다.

보상 방안의 불명확성

예스24는 "고객 보상안을 마련 중"이라고 밝혔지만, 구체적인 피해 범위와 보상 기준, 절차 등에 대해서는 명확히 제시하지 않고 있다. 이러한 모호한 입장은 소비자들의 불신을 더욱 키우고 있다.

개인정보 유출 우려와 불투명한 조사

예스24는 "개인정보 유출은 없다"고 주장하고 있지만, 보안 전문가들은 랜섬웨어에 감염된 시스템에서는 해커가 최고 권한을 가진 상태이므로 정보 유출 가능성을 배제할 수 없다고 지적한다.

특히 로그 기록 분석이 제대로 이뤄지지 않은 상황에서 유출 여부를 단정하는 것은 무책임하다는 비판이 나온다. 개인정보보호위원회가 직접 조사에 착수한 것도 이러한 우려를 반영한 것으로 보인다.

향후 과제와 교훈

즉각적인 신뢰 회복 노력 필요

예스24가 당장 해야 할 일은 투명한 정보 공개다. 복구 진행 상황, 개인정보 유출 조사 결과, 구체적인 보상 방안 등을 명확히 제시해 고객 신뢰를 회복해야 한다. 또한 고객센터 운영을 즉시 정상화해 고객 불편을 최소화해야 한다.

보안 체계 전면 재검토

장기적으로는 보안 인프라를 전면적으로 재정비해야 한다. 단순한 인증 취득이 아닌 실질적인 보안 강화가 필요하며, 정기적인 모의 해킹 테스트와 취약점 점검을 통해 보안 수준을 지속적으로 개선해야 한다.

위기관리 매뉴얼 정비

이번 사태는 예스24의 위기관리 능력이 얼마나 부실한지를 적나라하게 드러냈다. 초기 대응 지연, 정부 기관과의 협력 거부, 불투명한 정보 공개 등은 모두 위기관리의 기본 원칙을 무시한 결과다. 체계적인 위기관리 매뉴얼을 마련하고 정기적인 훈련을 통해 유사한 상황에 대비해야 한다.

결론: 신뢰 회복의 긴 여정

예스24 랜섬웨어 사태는 단순한 해킹 사건이 아니라 기업의 위기관리 능력과 고객에 대한 책임 의식을 묻는 시험대가 되었다. 기술적 문제보다 더 심각한 것은 초기 대응의 실패와 투명성 부족이다.

랜섬웨어 공격 자체는 예방할 수 없을지 몰라도, 그 이후의 대응은 기업의 선택이다. 예스24가 보여준 은폐와 독단, 불투명한 소통은 결코 용납될 수 없는 대응이었다.

이제라도 예스24는 진정성 있는 사과와 함께 투명한 정보 공개, 체계적인 보상, 그리고 근본적인 보안 개선을 통해 잃어버린 신뢰를 회복해야 한다. 그렇지 않는다면 이번 사태는 예스24에게 치명적인 타격이 될 수 있다.

디지털 시대에 고객의 신뢰는 한 번 잃으면 회복하기 어렵다는 교훈을 예스24는 뼈저리게 느끼고 있을 것이다. 이제 선택은 예스24의 몫이다.

 

https://www.youtube.com/watch?v=4ZvvosSzueI