🧨 예스24, 랜섬웨어에 털렸나? 먹통 사태 3일째… 아직도 복구 불가?!

사건과 무관한 사진

 

 

 

국내 최대 인터넷서점 예스 24가 사흘째 접속 불가 상태입니다.
이용자 불편은 물론이고, 해킹·랜섬웨어 의혹까지 번지면서 혼란이 커지고 있는데요.
정부와의 소통 문제도 불거지며, 사태는 쉽게 가라앉지 않을 분위기입니다.

 

 

 

❌ 예스 24, 9일부터 먹통… 지금도 접속 안 됨

9일 새벽 4시부터 예스 24 홈페이지와 앱이 완전히 접속 불가 상태에 빠졌습니다.

 

11일 기준, 접속하면 뜨는 건 “접속 오류로 불편을 드려 죄송하다”는 사과문뿐.

 

초기에는 단순 시스템 장애라고 했지만,
국회 쪽에서 랜섬웨어 해킹 의혹이 제기되자 회사 측도 입장을 바꾸었습니다.

 

 

 

🔐 해킹 사실 숨기려 했나? 정부와도 ‘엇박자’

예스 24는 보안 조치를 했다고 밝혔지만,
한국인터넷진흥원(KISA)과 과학기술정보통신부(과기정통부)는
예스 24가 기술 지원 요청에 동의하지 않았다고 밝혔습니다.

“사고 직후 자체 조사를 하겠다는 입장이었다” – KISA
“동의가 없어 자료 제출 요청만 한 상태” – 과기정통부

 

이에 대해 일각에서는,

해킹 피해 사실을 감추려 한 것이 아니냐는 의혹도 제기되고 있습니다.

 

 

📌 한국인터넷진흥원(KISA)

• 정식 명칭: 한국인터넷진흥원 (Korea Internet & Security Agency)
• 소속: 과학기술정보통신부 산하 공공기관
• 주요 역할:
  • 인터넷 보안 및 사이버 침해 대응
  • 개인정보 보호 정책 지원
  • 스팸 문자·이메일 관리
  • 디지털 인증, 보안기술 개발 지원
  • 국내외 해킹 사고 대응 및 분석

👉 요약하면, 국가 차원의 ‘인터넷 보안 컨트롤타워’ 역할을 맡고 있는 기관입니다.

 

 

 

📌 과학기술정보통신부(과기정통부)

• 정식 명칭: 과학기술정보통신부 (Ministry of Science and ICT)
• 정부 부처 중 하나로, KISA의 주무부처
• 주요 역할:
  • 과학기술 및 정보통신(ICT) 정책 수립과 집행
  • 4차 산업혁명, AI, 디지털 전환 등 기술혁신 주도
  • 사이버 보안 정책 수립 및 예산 지원

👉 쉽게 말해, 국가의 ‘과학기술·IT 정책을 총괄하는 사령탑’입니다.

 

이 두 기관은 해킹 사고나 랜섬웨어 같은 사이버 위기 상황에서 핵심 대응 주체로,

민간 기업과 협력해 조사·복구·예방을 총괄합니다.

 

 

 

🛡 개인정보는 괜찮은가?

예스 24는 “개인정보는 암호화돼 있으며, 침해 로그는 없다”라고 해명했지만
전문가들은 안심할 수 없다고 말합니다.

“랜섬웨어는 시스템 전체 권한을 탈취한다. 해커가 원하는 건 다 가능하다.” – 김혁준 대표
“로그가 없다고 유출 없다고 단정 못 해” – 곽진 교수

 

과거에도 예스 24는
2016년·2020년에 개인정보 유출, 보호법 위반으로 과태료 처분을 받은 이력이 있어
보안 관리에 대한 지적이 이어지고 있습니다.

 

 

 

🔄 인증이 있다고 ‘안전’한 건 아니다?

예스 24는 ISMS-P, ePRIVACY PLUS 등의 인증을 받았다고 하지만
이 인증들은 사전 점검 성격일 뿐, 실제 해킹까지 막아주진 못합니다.

 

곽 교수도 “인증 있다고 해서 시스템 자체가 안전한 건 아니다”라고 분명히 지적했습니다.

 

 

📌 ISMS-P (정보보호 및 개인정보보호 관리체계 인증)

• 정식 명칭: Information Security Management System – Personal information
• 주관 기관: 한국인터넷진흥원(KISA)
• 목적: 기업이나 기관이 정보보호와 개인정보 보호를 체계적으로
  관리하고 있다는 것을 인증
• 구성:
  • ISMS(정보보호 관리체계) + P(개인정보 보호 관리체계) 통합 인증
• 대상:
  • 개인정보를 다루는 기업, 공공기관, 병원, 쇼핑몰 등
  • 특히 개인정보 유출 위험이 높은 기업에 필수적

👉 요약: 해킹·유출에 대비한 정보보안 + 개인정보 보호 통합 인증제도

 

 

 

📌 ePRIVACY PLUS (이 프라이버시 플러스 인증)

• 주관 기관: 한국정보통신진흥협회(KAIT)
• 목적: 웹사이트나 서비스가
  개인정보를 안전하게 처리하고 있는지 평가해 주는 민간 인증
• 등급:
  • 일반 ePRIVACY → ePRIVACY PLUS는 더 높은 등급
• 특징:
  • 온라인 서비스 중심의 개인정보 보호 역량 평가
  • ISMS-P보다는 소규모 기업이나 스타트업도 받기 쉬움

👉 요약: 웹사이트가 개인정보를 잘 관리하고 있다는 민간 인증 마크

 

다시 한번 말씀드리지만

두 인증 모두 기업의 신뢰도와 보안 관리 수준을 보여주는 지표이지만,

완벽한 해킹 방지는 아닙니다.

 

 

 

🔧 복구는 가능할까?… 백업 vs 몸값

랜섬웨어에 감염되면 3가지 대응책이 일반적으로 논의됩니다.

1. 몸값 지불 (비용 지불 후 복호화 키 수령)
2. 백업 자료 복원 (감염 전 상태로 시스템 복구)
3. 정부 복구 도구 활용 (Hive 복구 툴 등)

하지만 몸값은 믿을 수 없고,
복구 도구는 중소기업 위주라 실효성 낮음.
결국 믿을 건 백업뿐인데, 백업 시점 이후의 데이터 손실 가능성은 남습니다.

 

 

 

이번 예스 24 사태는 단순한 서버 다운이 아닌,
보안 허술, 대응 미흡, 커뮤니케이션 실패가 복합된 문제처럼 보입니다.

 

온라인 플랫폼을 믿고 사용하는 이용자 입장에서
개인정보 보호와 투명한 대응은 기본 중의 기본이 되어야겠죠.

 

📌 아직 예스 24를 이용하지 못하고 있는 분들,
대체 플랫폼을 쓰는 것도 하나의 방법일 수 있겠습니다.

 

요즘 랜섬웨어 공격이 점점 더 지능적이라, 플랫폼도 이용자도 다 조심해야겠어요.