[단독] 예스24, '알라딘 해킹 사태' 당시 출판협회 보안 조사 거절해

▲접속 불능인 예스24 홈페이지 화면

2년 전 발생한 알라딘 전자책 유출 해킹 사태 당시 대한출판문화협회(출협)에서 진행한 시스템 보안 조사에 예스24가 참여하지 않은 것으로 확인됐다.

12일 출판계에 따르면, 2년 전 출협은 알라딘 전자책 유출 사건의 원인을 밝히기 위해 보안업체와 전문가를 포함한 '알라딘 전자책 유출 피해 및 전자책 보안 실태 조사단'을 구성했다.

조사단을 구성한 출협은 2023년 8월부터 3개월간 모의 해킹을 포함한 보안 실태조사를 진행했다. 이 조사에 교보문고와 리디북스 등은 참여했지만, 예스24는 참여를 거부하고 자체 점검표만 서면으로 제출했다.

출협 관계자는 "당시 알라딘은 모의 해킹을 진행했고, (교보문고와 리디북스 등) 다른 곳들은 조사 업체에서 대면 인터뷰를 진행하는 등 보안에 어떤 취약점이 있는지 확인했다"라며 "그러나 예스24는 인터뷰를 거부하고 서면으로 자체 보안 점검표만 보냈다"라고 전했다.

이와 관련해 예스24 측은 “당시 사설 보안 업체에서 회사 보안 자료를 요구해 거절했었다”라고 밝혔다.

한편 예스24는 최근 해킹 사태와 관련해 한국인터넷진흥원(KISA)과 협력해 원인분석 및 복구 작업에 총력을 다하고 있다는 입장문을 발표했다.

하지만 KISA는 반박 성명을 통해 “사고 상황 파악을 위해 예스24 본사로 KISA 분석가들이 10일과 11일 2차례 방문했으나 현재까지 기술지원에 협조하지 않고 있다”라고 밝혔다.

IT업계에서는 사이버 보안 점검을 내부 인력에만 의존할 경우 한계가 발생할 수 있다는 지적이 나온다. 내부 전문가들은 자체 보안 시스템에 익숙하다는 장점이 있지만, 내부 인력만의 시각은 오랜 기간 누적된 관행이나 익숙함 때문에 중요한 위험 요소를 간과할 수 있다. 실제로 많은 기업이 해킹만 전담하는 '레드 팀' 등 외부 보안 인력을 활용하는 이유다.

또한, 예스24는 현재까지 개인 정보 유출 가능성이 없다고 입장을 냈지만 이를 단정하기는 어렵다는 게 전문가의 분석이다.

염흥열 순천향대 정보보호학과 명예교수는 "기술적으로 보면 랜섬웨어가 감염된 거고 랜섬웨어가 감염이 됐다면 예스24 정보 시스템의 관리자 권한이 탈취된 것"이라며 "그러면 (해커들이) 모든 것들을 다 할 수 있다"라고 설명했다.