개인정보보호위원회,유출 여부 조사 나서

예스24 “당국과 협력 중”…KISA “아니다”

예스24 강서NC점. (매경 DB) 개인정보보호위원회가 해킹 사태로 논란을 일으킨 예스24에 대한 개인정보 유출 여부 조사에 나섰다. 예스24는 뒤늦게 “개인정보 유출이 확인되면 개별 연락을 드리겠다”는 내용의 공지를 올렸다. 예스24는 지난 6월 9일 ‘개인정보 유출은 없었다’고 밝힌 바 있다. 국내 최대 규모의 인터넷서점인 예스24의 고객은 2000만명이 넘는다.

예스24는 12일 고객 안내문을 홈페이지에 게재하며 “현시점에는 개별 통지가 어려운 상황이라 본 공지를 통해 우선 안내해 드린다”며 “향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락드릴 예정”이라고 밝혔다. 또 “현재까지 파악한 바로는 고객의 개인정보 외부 유출 정황은 발견되지 않았다”며 “만에 하나 (유출) 가능성에 대비해 알려드린다”고 했다.

예스24는 ‘고객 피해 최소화를 위한 안내 사항’도 올렸다. 예스24는 당사 또는 금융기관을 사칭한 문자·이메일·전화를 주의하라고 당부했다. 또 출처가 불분명한 링크나 첨부파일은 열지 말고 바로 삭제하라고 했다. 아울러 본인 명의 계좌·카드 발급 내역도 확인하라고 공지했다.

개인정보 관련 예스24 고객 안내문. (예스24 홈페이지 갈무리) 예스24 앱과 홈페이지는 지난 6월 9일부터 접속할 수 없는 상태다. 해커는 예스24 서버 구동에 필요한 설정 파일과 스크립트 파일 등을 노린 것으로 전해졌다. 예비용 백업 서버도 정상 작동하지 않아 복구는 지연되고 있다. 예스24 측은 이르면 12일 중 공연 입장 시스템부터 복구할 예정이다.

한편 예스24는 한국인터넷진흥원(KISA)의 문제 해결 지원을 거부했는데도 KISA와 협력 중이라고 발표해 빈축을 샀다. 예스24는 11일 입장문을 통해 “현재 예스24 최고보안책임자 및 관련 부서가 KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다”고 밝혔다.

그러나 KISA는 12일 “예스24가 KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다고 발표한 내용은 사실과 다르다”고 반박했다. KISA는 해킹 상황을 파악하기 위해 10일과 11일 예스24 본사로 사고 분석 전문 직원들을 두 차례 파견했다. 첫날 방문에서 간단한 구두 설명만 있었을 뿐 예스24가 기술 지원에 협조하지 않았다는 게 KISA 측 입장이다.

KISA가 예스24로부터 들은 설명은 랜섬웨어 문제가 있다는 정도에 그쳤다. KISA는 서버 몇 대가 악성코드에 감염됐는지 피해 규모와 공격 유형 등에 관한 정보는 얻지 못했다. KISA 측은 “예스24가 신속히 서비스를 정상 복구하고 사고 원인 분석 등이 이뤄질 수 있도록 지속적인 협력을 요청할 예정”이라고 말했다.