[뉴스스페이스=김희선 기자] 국내 최대 인터넷서점 예스24가 랜섬웨어 해킹으로 나흘째 서비스 마비를 겪는 가운데, 사태 초기 해킹 사실 은폐와 거짓 해명, 당국 지원 거부, 오너 경영진의 무책임까지 총체적 난맥상을 드러내고 있다.

공연·출판·이커머스 등 전방위로 피해가 확산되는 가운데, “경영권은 행사하면서 책임은 지지 않는다”는 오너 책임론까지 불거지고 있다.

해킹 사실 은폐·‘복구 중’ 공지도 거짓…KISA “협력 요청 없었다”

예스24는 9일 새벽 랜섬웨어 공격으로 서비스가 마비됐음에도 이틀간 ‘시스템 점검’ 공지만 내걸고 해킹 사실을 숨겼다. 10일 국회 과방위 소속 최수진 의원이 해킹 사실을 공개하고, 언론이 이를 보도하자 그제야 랜섬웨어 피해를 인정했다.

이후에도 예스24는 “한국인터넷진흥원(KISA)과 협력해 복구 작업에 총력을 다하고 있다”고 공지했으나, KISA는 “사실과 다르다”며 공개 반박했다.

KISA는 10~11일 두 차례 사고 분석 전문가를 본사에 파견했지만, 예스24가 기술 지원을 거부해 실질적 조사가 이뤄지지 않았다고 밝혔다. 예스24는 12일 정오가 돼서야 뒤늦게 KISA에 기술 지원을 공식 요청했다.

개인정보 유출·공연계 혼란…피해 확산

예스24는 회원 2000만명의 개인정보를 보유한 국내 최대 온라인서점이자 공연·이북·티켓 플랫폼이다. 이번 해킹으로 도서 주문, 전자책, 공연 티켓 예매 등 전 서비스가 중단되면서, 공연계와 출판계, 소비자 피해가 눈덩이처럼 불어나고 있다.

일부 공연장에서는 예스24 티켓 예매 고객이 좌석 확인을 못해 입장하지 못하는 사태까지 발생했다. 엔하이픈, 데이식스 등 인기 아이돌 팬미팅·콘서트 예매 일정도 줄줄이 연기됐다.

개인정보보호위원회는 11일 예스24가 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적 회원정보 조회 정황을 확인했다고 밝혔다. 개인정보위는 유출 경위와 피해 규모, 안전조치 의무 준수 여부를 조사해 법적 처분에 나설 방침이다.

오너 경영진, 침묵·책임 회피…“경영권만 행사, 책임은 외면” 비판

예스24는 한세예스24홀딩스(김동녕 회장, 김석환 대표) 오너 일가가 80% 가까운 지분을 보유한 사실상 가족기업이다. 김석환 대표는 등기임원(사내이사)이자 실질적 경영 책임자임에도, 사고 발생 나흘이 지나도록 공식 사과나 해명을 내놓지 않고 있다.

홈페이지와 인스타그램 등에는 실무진 명의의 공지만 올라왔을 뿐, 오너 경영진이 전면에 나서지 않는다는 비판이 쏟아진다.

보안 투자·위기 대응도 ‘부실’…“모의해킹조차 안 해”

보안업계에서는 예스24가 평소 보안 투자에 인색했고, 모의 해킹 등 기본적인 보안 점검조차 소홀했다고 지적한다. KISA 등 외부 전문가의 지원도 거부하다 사태가 악화되자 뒤늦게 SOS를 쳤다는 비판이 거세다.

한 IT보안 전문가는 “예스24 해킹은 전형적인 랜섬웨어 공격”이라며 “기본적인 보안 점검만 했어도 피해를 막을 수 있었을 것”이라고 말했다.

이번 예스24 사태는 해킹 사실 은폐, 거짓 해명, 늑장 대응, 오너 경영진의 무책임까지 총체적 난국을 보여줬다.

피해는 소비자, 공연계, 출판계 등 전방위로 확산되고 있다.

전문가들은 “경영권을 행사하는 오너 일가가 위기 때는 책임을 외면하는 전형적 무책임”이라며, “기업 신뢰 회복과 재발 방지를 위해서는 책임 있는 사과와 근본적 보안 강화, 위기관리 시스템 개선이 시급하다”고 지적했다.