'보안 불감증'이 부른 일주일 먹통…예스24, 뒤늦은 사과와 보상

[이코노믹데일리] 랜섬웨어 해킹으로 일주일간 서비스 장애를 겪은 예스24가 공식 사과와 함께 보상안을 발표했지만 이번 사태의 원인으로 기술 지원이 종료된 구형 운영체제(OS)를 사용해 온 사실이 드러나며 근본적인 보안 불감증이 도마 위에 올랐다.

김석환, 최세라 예스24 공동대표는 지난 16일, 사고 발생 7일 만에 공식 사과문을 내고 “고객의 신뢰가 흔들린 점을 무겁게 받아들이며 모든 역량을 동원해 피해 복구와 신뢰 회복에 전념하고 있다”고 밝혔다.

하지만 이번 사태의 배경에는 예견된 인재(人災)라는 비판이 나온다. 예스24는 서버 OS로 2023년 10월 마이크로소프트의 기술 지원이 종료된 ‘윈도 서버 2012’를 여전히 사용해 온 것으로 확인됐다. 

기술 지원 종료는 신규 보안 위협에 대한 업데이트가 중단됨을 의미하며 이는 사실상 1년 반 넘게 서버를 보안 위협에 그대로 방치한 셈이다. IT 업계에서는 이를 두고 “보안 의식 결여는 물론 IT 자산에 대한 무관심을 보여주는 충격적인 일”이라는 지적이 나온다.

예스24의 낙후된 시스템은 이뿐만이 아니다. 현재는 잘 사용하지 않는 구형 개발 언어인 ‘닷넷 프레임워크’를 쓰는 등 레거시 시스템에 의존해 온 점도 복구 지연의 한 원인으로 꼽힌다. 예스24 측은 “현재 70% 이상 업그레이드를 진행했으며 6월 말 완료 목표였으나 이번 사태로 일정 조정이 필요한 상황”이라고 해명했다.

예스24는 1차 보상안에 이어 17일 추가 보상안을 공시했다. 보상안에는 공연을 보지 못한 고객에 대한 티켓 금액의 120% 예치금 환불, 도서 출고 지연 고객에 대한 포인트 지급 등이 포함됐다. 또한 전체 회원을 대상으로 YES상품권 5000원과 크레마클럽 30일 무료 이용권을 제공하는 등 추가적인 보상도 약속했다.

한편 두 공동대표는 “보안 체계를 원점에서 재점검하고 외부 보안 자문단을 도입하며 보안 예산을 확대해 시스템 신뢰도를 강화하겠다”고 밝혔지만 기본적인 IT 투자에 소홀했다는 비판을 피하기는 어려울 전망이다.