예스24 “당국과 협력 중” 거짓말?…KISA “기술 지원 거부” 반박

KISA “구두 설명만 들었을 뿐 접근 못 해”
개인정보위, 개인정보 유출 관련 조사 착수

(시사저널=오유진 기자)

12일 예스24 홈페이지에 안내된 개인정보 관련 안내문 ⓒYES24 홈페이지

랜섬웨어 해킹 사태를 겪고 있는 인터넷서점 예스24가 보안당국과 협력하고 있다는 거짓 입장을 내 논란에 휩싸였다. 나흘째 서비스 복구가 요원한 가운데 사태를 축소하려는 것 아니냐는 지적이 나온다.

한국인터넷진흥원(KISA)은 12일 예스24가 전날 발표한 입장문에 대해 사실과 다른 내용이 있다고 반박했다.

예스24는 전날인 11일 오후 해킹 사태 2차 입장문을 통해 "KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다"며 "현재 예스24 권민석 최고보안책임자 및 관련 부서가 KISA와 협력해 원인 분석 및 복구 작업을 진행 중"이라고 공지했다.

그러나 이날 KISA는 예스24가 당국의 기술 지원에 협조하지 않았다고 지적했다. KISA는 해킹 상황을 파악하기 위해 10일과 11일 예스24 본사로 사고 분석 전문 직원을 두 차례 파견했다. 하지만 예스24 직원으로부터 구두 설명만 들었을 뿐 접근을 허용하지 않았다고 설명했다.

예스24가 당국 지원에 협조 중인 것처럼 거짓 입장문을 발표했다는 뜻이다.

KISA 관계자는 "예스24로부터 들은 설명은 랜섬웨어 문제가 있다는 정도에 그쳤고, 몇 대의 서버가 악성코드에 감염됐는지 등 피해 규모와 공격 유형에 대한 정보는 얻지 못하고 있다"고 전했다.

이어 "예스24가 서비스를 신속히 정상 복구하고, 사고 원인 분석이 이뤄질 수 있도록 지속적인 협력을 요청할 예정"이라고 말했다.

한편, 개인정보보호위원회는 11일 예스24에 대한 개인정보 유출 조사에 착수했다. 지난 9일 예스24가 랜섬웨어 공격을 인지한 뒤 조치 과정에서 비정상적인 회원 정보 조회 정황을 확인했다고 신고함에 따른 조치다.

개인정보위는 "구체적인 유출 경위와 피해 규모, 안전조치 준수 의무 여부를 확인해 개인정보보호법 위반 사항이 있는 경우 관련 법령에 따라 처분할 예정"이라고 밝혔다.