[보안뉴스 조재호 기자] 국내 최대 온라인 서점이자 티켓 예매 플랫폼인 예스24가 돌아왔다. 지난 9일 랜섬웨어 공격으로 서비스 장애가 발생한 지 일주일만이다. 정상화까진 조금 더 시간이 필요해 보인다. 하지만 기업의 본격적인 위기는 지금부터다.
[자료: 예스24]
예스24 해킹은 단순 랜섬웨어 공격이 아니다. 서비스 장애로 인한 플랫폼의 직접 피해를 시작으로 출판업계와 공연계의 정산 문제 같은 부가적인 피해액도 상당할 것이다. 이용자 규모 면에서도 직전 SKT 사태와 비견된다. 국내 최대 서적·티켓 중개 플랫폼으로 2000여만명의 개인정보 유출 위협도 해소되지 않았다. 전자책 서비스 장애로 인해 디지털 소유권에 대한 의구심도 재차 증폭시켰다. 더 큰 문제는 기업의 반복된 거짓 해명으로 인한 신뢰도 하락이다.
예스24는 지난 9일부터 시작된 일련의 사태를 시스템 장애 현상이라 공지했다. 하지만 다음날 한국인터넷진흥원(KISA)에 ‘랜섬웨어’로 신고한 사실이 드러나며 거짓임이 밝혀졌다. 11일 KISA와 조사 협조 문제 진실 공방도 벌어졌다. 이 사이 개인정보 유출 가능성에 대해서도 전면 부정에서 가능성을 열어두는 방향으로 변화했다. 첫 공지는 해커와 협상 과정에서 조기 수습을 고려해 진행한 것이 아니냐는 의혹도 남아있다.
모든 것이 불투명한 가운데 지난 13일을 기점으로 서비스 복구가 조금씩 진행됐다. 15일을 전후해 완전 복구를 예고한 약속도 지켜지지 않았다. 랜섬웨어 사고 복구 기간은 천차만별이다. 작게는 복구 시점 예측 실패, 크게는 사고 축소·은폐 시도로 해석될 여지도 있다. 직전 SKT 사태도 대처를 잘한 것은 아니었지만, 그마저 재평가해야 할 정도다. 적어도 SKT는 유영상 대표가 전면에 나섰다. 소비자 피해 구제를 위해 적극적으로 나서는 태도를 보였다.
지난 월요일 사고 발생 후 일주일이 지난 시점에서 김석환·최세라 예스24 대표의 첫 공식 사과문과 1차 보상안이 발표됐다. ‘예스24 랜섬웨어 장애 사고 공식 사과문’이라는 제목으로 나온 사과문에서는 기업이 고객의 신뢰 위에서 성장해 온 플랫폼이며, 모든 역량을 동원해 피해 복구와 신뢰 회복에 나선다고 밝혔다.
고객과의 신뢰를 강조하며, 1차 보상안을 포함한 추가 보상안 마련에 대한 고민을 밝힌 부분은 긍정적이다. 하지만 랜섬웨어 공격을 시스템 장애로 표현하는 부분이나 개인정보 관련 내용이 전혀 없는 부분은 이해하기 어렵다. 무엇보다 우선 돼야 했을 고객 소통 지연의 이유로도 부족하다. 사과문 발표도 업무 마무리 시간이었던 6시를 전후한 서면 및 홈페이지 공지 방식이었다. 공교롭다.
지난 PIS FAIR 2025의 트랙 발표 중 사고 대응 노하우를 다뤘던 김진환 지키다 대표는 “개인정보 유출도 결국 사고고, 사고에서는 피해자를 대하는 태도가 중요하다”며 “회사도 피해자이기에 억울할 수 있지만, 고객이 먼저”라고 말했다. 해킹은 당할 수 있다. 개인정보 피해가 없을 수도 있다. 하지만 그 과정에서 중요한 건 사고 발생 이후 기업의 대응이다. 그리고 이를 지휘해야 할 최고정보보안책임자(CISO)의 모습도 보이지 않았다.
개인정보 관련 유출이 없었다는 예스24의 입장을 존중하고 정부 발표를 기다린다고 하더라도 그간 예스24의 입장이 투명하고 일관됐었는지 의문이 앞선다. 서비스 기업이 최우선 순위로 생각해야 할 부분은 고객 만족과 경험 향상에 기반한 고객 중심적 사고다. 이 부분에서 예스24가 이번 사태의 초동 대응에서 잃어버린 것은 신뢰에 앞서 기업의 본질이 아닐까 한다.
[조재호 기자(sw@boannews.com)]
[자료: 예스24]
예스24 해킹은 단순 랜섬웨어 공격이 아니다. 서비스 장애로 인한 플랫폼의 직접 피해를 시작으로 출판업계와 공연계의 정산 문제 같은 부가적인 피해액도 상당할 것이다. 이용자 규모 면에서도 직전 SKT 사태와 비견된다. 국내 최대 서적·티켓 중개 플랫폼으로 2000여만명의 개인정보 유출 위협도 해소되지 않았다. 전자책 서비스 장애로 인해 디지털 소유권에 대한 의구심도 재차 증폭시켰다. 더 큰 문제는 기업의 반복된 거짓 해명으로 인한 신뢰도 하락이다.
예스24는 지난 9일부터 시작된 일련의 사태를 시스템 장애 현상이라 공지했다. 하지만 다음날 한국인터넷진흥원(KISA)에 ‘랜섬웨어’로 신고한 사실이 드러나며 거짓임이 밝혀졌다. 11일 KISA와 조사 협조 문제 진실 공방도 벌어졌다. 이 사이 개인정보 유출 가능성에 대해서도 전면 부정에서 가능성을 열어두는 방향으로 변화했다. 첫 공지는 해커와 협상 과정에서 조기 수습을 고려해 진행한 것이 아니냐는 의혹도 남아있다.
모든 것이 불투명한 가운데 지난 13일을 기점으로 서비스 복구가 조금씩 진행됐다. 15일을 전후해 완전 복구를 예고한 약속도 지켜지지 않았다. 랜섬웨어 사고 복구 기간은 천차만별이다. 작게는 복구 시점 예측 실패, 크게는 사고 축소·은폐 시도로 해석될 여지도 있다. 직전 SKT 사태도 대처를 잘한 것은 아니었지만, 그마저 재평가해야 할 정도다. 적어도 SKT는 유영상 대표가 전면에 나섰다. 소비자 피해 구제를 위해 적극적으로 나서는 태도를 보였다.
지난 월요일 사고 발생 후 일주일이 지난 시점에서 김석환·최세라 예스24 대표의 첫 공식 사과문과 1차 보상안이 발표됐다. ‘예스24 랜섬웨어 장애 사고 공식 사과문’이라는 제목으로 나온 사과문에서는 기업이 고객의 신뢰 위에서 성장해 온 플랫폼이며, 모든 역량을 동원해 피해 복구와 신뢰 회복에 나선다고 밝혔다.
고객과의 신뢰를 강조하며, 1차 보상안을 포함한 추가 보상안 마련에 대한 고민을 밝힌 부분은 긍정적이다. 하지만 랜섬웨어 공격을 시스템 장애로 표현하는 부분이나 개인정보 관련 내용이 전혀 없는 부분은 이해하기 어렵다. 무엇보다 우선 돼야 했을 고객 소통 지연의 이유로도 부족하다. 사과문 발표도 업무 마무리 시간이었던 6시를 전후한 서면 및 홈페이지 공지 방식이었다. 공교롭다.
지난 PIS FAIR 2025의 트랙 발표 중 사고 대응 노하우를 다뤘던 김진환 지키다 대표는 “개인정보 유출도 결국 사고고, 사고에서는 피해자를 대하는 태도가 중요하다”며 “회사도 피해자이기에 억울할 수 있지만, 고객이 먼저”라고 말했다. 해킹은 당할 수 있다. 개인정보 피해가 없을 수도 있다. 하지만 그 과정에서 중요한 건 사고 발생 이후 기업의 대응이다. 그리고 이를 지휘해야 할 최고정보보안책임자(CISO)의 모습도 보이지 않았다.
개인정보 관련 유출이 없었다는 예스24의 입장을 존중하고 정부 발표를 기다린다고 하더라도 그간 예스24의 입장이 투명하고 일관됐었는지 의문이 앞선다. 서비스 기업이 최우선 순위로 생각해야 할 부분은 고객 만족과 경험 향상에 기반한 고객 중심적 사고다. 이 부분에서 예스24가 이번 사태의 초동 대응에서 잃어버린 것은 신뢰에 앞서 기업의 본질이 아닐까 한다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_Th.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
