랜섬웨어 해킹으로 인해 지난 9일부터 접속 장애 사태를 겪고 있는 예스24(YES24)가 회원들의 개인 정보가 유출되지 않았다고 밝혔음에도 이용자 정보 누출에 대한 우려가 커지고 있다.

11일 예스24는 '회원들의 개인 정보 유출이 발생하지 않았다'는 주장의 근거를 묻는 <메트로경제신문> 질의에 "개인 정보와 주문 정보 등 모든 데이터 파일을 암호화해 보관하고 있었고, (해커들의 침입 흔적을 확인할 수 있는) 로그 기록이 없어 유출이 없었음을 확인했다"고 답변했다. 이어 "한국인터넷진흥원(KISA)에서 현장을 방문했고, 유출이 없었다는 걸 함께 확인했다"고 덧붙였다.

회사 측은 해커들이 암호화 해제에 요구한 금액이 얼마인지에 대해서는 함구했다.

예스24는 사고 발생 후 약 36시간이 지나서야 랜섬웨어 공격 사실을 공개했다. 그전까지는 홈페이지에 '시스템 점검 중'이라는 공지만 게재됐으며, 이로 인해 해킹 사실을 숨긴 것 아니냐는 은폐 의혹도 제기됐다.

이에 대해 예스24 관계자는 "처음에 접속 장애가 있을 때 공지가 자동으로 뜨다 보니 그런 부분이 있었다"며 "랜섬웨어를 확인했을 때 KISA에 바로 신고했고 홍보팀에서 이를 인지하는 데 시간이 걸린 것뿐이다"고 해명했다.

그러면서 "은폐 의도는 절대 아니다"며 "시간이 지날수록 고객 불편과 비용이 늘어나는 만큼, 빨리 알리는 것이 회사에도 이롭다"고 말했다.

예스24는 일부 언론 보도에서 제기된 KISA 기술 지원 거부로 사고 조사가 지연되고 있다는 주장도 적극 반박했다.

회사 측은 "내부에 기술 분석팀이 있는 회사들은 자체적으로 기술 분석을 하고 이후 KISA에서 (회사에) 방문해 조사한다"며 "저희가 기술 분석한 내용을 KISA에 제공해 사건 수습에 적극 협조했다"고 강조했다.

한편, 사흘째 이어지고 있는 예스24의 홈페이지와 앱 먹통 사태로 인해 이용자 불편은 커지고 있다. 전자책 열람은 물론, 뮤지컬·콘서트 입장을 위한 티켓 확인이나 예매도 불가능한 상태다. 팬사인회 응모, 선예매 일정도 줄줄이 연기되거나 취소됐다.

예스24는 "피해 보상은 무조건 다 한다는 게 원칙"이라며 "콘서트 입장이 안 된다거나, 예매 취소를 못 한다거나 하는 등 케이스가 많아 정리하고 있고, 구체적인 보상안 공개 시점은 현 단계에선 밝힐 순 없으나 최대한 빨리 발표하겠다"고 양해를 구했다.

이번 예스24 해킹 사태는 사이버 공격 발생 시 정부의 기술 지원이 민간 기업의 선택에 맡겨져 있다는 점에서, 강제 조사 권한이 없는 현행 체계의 구조적 한계를 드러냈다.

KISA 관계자는 "기업이 필요한 부분에 대해 지원은 할 수 있지만 강제할 순 없다. 기업 요청이 있는 경우 랜섬웨어 취약점 점검을 나가서 컨설팅을 통해 취약점 보완을 돕는다"면서 "기술 지원 기관이어서 정부에 법 개정을 요청하진 않는다"고 말했다.