해킹 두 달 만에 또 털린 예스24…전문가 “내부에 남은 공격루트 조사해야”

서울 영등포구 예스24 본사 모습. (사진=연합뉴스)

예스24가 랜섬웨어 공격을 받아 또다시 서비스가 멈췄다. 이번엔 7시간여 만에 복구했지만 랜섬웨어 공격을 재차 받은 만큼 내부망에 남은 공격자 채널을 샅샅이 조사하는 등 과도할 정도의 대응이 필요하다는 의견이 나온다.

예스24는 11일 오전 11시 30분 기준 홈페이지와 애플리케이션의 접속 장애 복구 조치를 끝마쳤다고 밝혔다. 이날 새벽 4시 30분경 랜섬웨어 공격으로 서비스 접속이 중단된 지 7시간 만이다.

앞서 예스24는 지난 6월 9일 랜섬웨어 공격을 받아 닷새간 시스템이 마비된 바 있다. 같은 달 13일부터 서비스를 순차 재개했지만 2달 만에 다시 먹통 사태를 겪으면서 재발방지 등 대응이 도마 위에 올랐다.

전문가들은 랜섬웨어 그룹의 2·3차 공격은 빈번하다고 지적한다. 어렵게 기업 시스템에 침투한 공격자는 내부망에 백도어나 여러 대체 채널을 만들어 둔다. 기업이 공격을 인지하고 공격자가 사용 중인 채널을 차단할 경우, 1~2개월의 잠복기를 거친 뒤 기업 대응이 느슨해진 틈을 타 재차 공격을 가한다.

김진국 플레인비트 대표는 “이번 공격은 지난 6월 공격자일 가능성 보다는 또 다른 공격자의 소행일 공산이 크다”며 “기업의 내부 침투 정보를 파는 '액세스 브로커'(Access Broker)를 통해 공격자들이 예스24 침투 루트를 공유할 수 있다”고 분석했다.

그러면서 “내부망에 남아 있는 채널을 전수조사해 잔존 위협을 없애고 다크웹에서 예스24 정보가 유통되진 않는지 모니터링을 강화해야 한다”고 강조했다.

한국인터넷진흥원(KISA)은 이날 오전 예스24의 신고를 받아 현장 조사에 착수했다.

조재학 기자 2jh@etnews.com