두 달 전 랜섬웨어 공격에 마비됐던 인터넷서점 예스24가 또 같은 공격을 당했다. 7시간 만에 서비스를 복구하긴 했지만 원인 파악과 대응에 소홀했을 가능성이 제기된다.

예스24는 11일 오전 4시 40분쯤 외부로부터 랜섬웨어 공격을 받아 도서 구매나 전자책 열람 등 모든 서비스가 중단됐다.

약 7시간 후쯤 예스24는 “백업 데이터를 활용한 서비스 복구 작업을 진행해 오전 11시 30분 기준 모든 서비스가 정상적으로 접속 및 이용 가능한 상태”라며 “사고 발생 직후 전사적인 비상 대응 체계를 가동해 즉시 시스템 긴급 차단 및 보안 점검 조치를 실시함과 동시에 한국인터넷진흥원(KISA) 신고를 완료했다”고 밝혔다.

예스24는 “서비스 이용에 불편과 우려를 끼쳐드린 점 깊이 사과드린다”며 “앞으로 더 안정적인 서비스 제공을 위해 보안 시스템과 운영 정책을 지속 강화하도록 하겠다”고 약속했다.

앞서 예스24는 지난 6월 9일에도 랜섬웨어 공격을 받아 서비스를 전면 중단한 바 있다. 당시 모두 복구하는 데 5일 이상 소요된 데 비하면 이번엔 비교적 짧은 시간이 걸렸지만, 예스24에 대한 이용자들의 불안과 불신 증폭을 피하긴 어렵게 됐다.

KISA가 현장조사에 착수한 가운데 업계에서는 다양한 분석이 나오고 있다.

기술 지원이 종료된 윈도우 운영체제(OS)를 계속 사용하고 있어서 생긴 문제일 수 있다는 기술적인 지적, 해커집단에게 돈을 지불하고 문제를 해결한 사실이 해커들에게 알려져 ‘먹잇감’이 된 것 아니냐는 시각도 있다.

이번 공격이 데이터복구 과정에서 남아있는 있던 악성코드를 제거하지 않아 벌어진 일인지, 아니면 새로운 방법으로 침투가 일어난 것인지는 밝혀야 할 문제다.

앞서 과학기술정보통신부와 KISA는 상반기 사이버 위협 동향 보고서에서 “예스24는 사고 발생 시 투명하지 않은 사고 대응으로 비판을 받았는데, 침해사고 발생기업은 가용한 모든 역량을 동원하여 사실관계를 파악하고, 적극적으로 외부와 소통하는 책임있는 자세로 대응해야 한다”고 지적한 바 있다.

보고서는 특히 “가장 중요한 문제점은 랜섬웨어 감염에 대비해 주요 데이터를 외부 저장소, 클라우드 등에 저장하는 오프사이트 백업 체계가 구축되지 않았다는 것”이라며 “중요 데이터를 오프사이트(클라우드, 외부 저장소 또는 오프라인)에 백업해 운영하고, 반드시 연 1회 이상 복구 훈련을 진행하여 실제 복구 가능성을 검증하여 대비해야 한다”고 강조했다.

이재걸·송현경 기자 claritas@naeil.com