사고 개요 및 경과
예스24는 2024년 6월 26일부터 7월 15일까지 랜섬웨어에 감염된 시스템의 정상적인 서비스 제공이 불가능한 상황에 직면했습니다. 랜섬웨어란 사용자의 시스템을 암호화한 뒤, 복호화 대가로 금전을 요구하는 악성코드로, 최근 몇 년간 금융권·공공기관은 물론, 대형 전자상거래 업체도 피해를 입고 있는 대표적인 사이버 공격 수단입니다.
사고의 특징
- 공격 시기: 6월 말부터 이상 징후 발생
- 장애 기간: 6월 26일 ~ 7월 15일 (20일간)
- 공격 형태: 랜섬웨어 감염, 시스템 일부 암호화
- 초기 대응: 침해 사실 확인 후 보안 조치 및 정부기관에 신고
예스24 공식 사과문 요약
예스24는 김석환, 최세라 공동 대표 명의의 사과문에서 다음과 같은 내용을 밝혔습니다.
- 고객 불편에 대한 사과
"서비스 중단으로 불편을 겪은 모든 고객 및 협력사 여러분께 깊이 사과드린다." - 보상 기준 발표
서비스 유형별 보상안을 마련하고, 그 기준을 구체적으로 공지. - 늦은 공지에 대한 해명
해커의 감시 가능성과 추가 위협을 고려하여 정보 공개 시점에 신중을 기했다고 설명.
서비스 유형별 보상안 분석
보상 기준은 크게 도서/CD 구매 고객, 이북(eBook) 이용자, 공연 티켓 예매 고객 등으로 나뉘어 있습니다. 각 항목을 포렌식 관점에서 상세히 정리해보면 다음과 같습니다.
도서 및 CD·LP 구매 고객
- 무상 반품 허용
- 대상 기간: 6월 26일 ~ 7월 15일 출고 완료 상품
- 반품 신청: 7월 17일 ~ 30일 마이페이지 통해 접수
- 예외 적용: 7월 3일~9일 주문 중 배송 완료 건은 제외
분석: 사고 시점에 구매된 상품의 배송 지연 및 품질 저하 가능성을 감안한 조치. 이는 디지털 포렌식 관점에서 고객 경험 데이터와 주문 처리 로그 분석을 통해 고객 불만 가능성이 높은 구간을 선별한 것으로 해석됩니다.
출고 지연 상품 보상
- 보상 내용: 출고 예정일이 7월 9일~13일인 경우, 고객에게 YES포인트 2,000점 지급
분석: 내부 시스템의 로그 및 주문처리 지연 타임라인에 따라 일정 기준을 설정한 것으로 보입니다. 이는 서비스 복구 로그, ERP·WMS 시스템 접근 기록을 통한 데이터 복구가 이뤄졌음을 간접적으로 시사합니다.
이북(eBook) 이용자 보상
- 보상 내용: 대여형 eBook 구매자에게 서비스 불능 기간(5일)만큼 이용 기간 자동 연장
분석: eBook 콘텐츠는 서버 기반 접근 방식이기 때문에, 서버 접근 이력이 끊긴 시점을 기준으로 정확한 이용 불가일이 산정 가능합니다. 디지털 포렌식에서는 이와 같은 로그 기반 증거가 서비스 보상 기준 수립의 핵심 근거가 됩니다.
티켓 예매 서비스 보상
- 보상 대상: 관람일 기준 7월 9~11일 정상 관람 불가 고객
- 보상 내용: 티켓 금액의 120%를 예치금으로 환불
예매 취소 고객에게는 취소 수수료 20% 상당을 예치금으로 보상
분석: 티켓 예매는 실시간성·한정성 높은 서비스로, 사고에 따른 손실이 크기 때문에 과실 책임 보상 강화가 적용된 사례입니다. 시스템 로그 및 예매 처리 서버 복구 기록을 통해 관람 여부 및 결제 상태를 기준으로 보상 범위가 결정된 것으로 보입니다.
늦은 공지에 대한 논란과 해명
예스24 측은 사고 발생 직후 곧바로 관련 기관에 신고하고 조사를 진행했지만, 외부에 알리는 데 시간이 걸렸다고 밝혔습니다. 이는 랜섬웨어 특성상 해커가 외부 반응을 감시하고 있을 수 있기 때문에, 무분별한 정보 공개는 오히려 2차 피해를 유발할 수 있다는 설명입니다.
포렌식 전문가 관점에서의 해석:
해커는 피해 기업이 어떤 조치를 취하고 있는지 파악하기 위해 보안 장비 로그, 내부 네트워크 패킷을 탐지할 수 있습니다. 따라서 무작정 보안 경보를 울리거나 피해 사실을 공개하면 데이터 완전 삭제, 금전 요구 증가 등 공격을 심화시킬 수 있습니다. 이러한 이유로 예스24의 ‘신중한 공개’는 일정 부분 이해가 필요한 대응으로 평가됩니다.
디지털 포렌식 관점의 시사점
- 로그 보존의 중요성
사고 원인을 분석하고 보상 기준을 설정하기 위해 가장 중요한 것은 '정확한 로그 데이터'입니다. 예스24는 이를 기반으로 서비스 이용 불가 기간, 주문·배송 지연 등을 판단한 것으로 보입니다. - 사전 침입 탐지 시스템(IDS/IPS) 필요성
장기간 탐지되지 않은 랜섬웨어는 기업 보안 체계에 허점을 드러낸 셈입니다. 공격 초기 탐지를 통해 손실을 줄일 수 있는 시스템 구축이 필요합니다. - 투명한 사고 공개와 커뮤니케이션의 균형
고객 신뢰 회복을 위해서는 숨김 없이 사실을 전달하는 것이 중요하지만, 해커의 반응을 유도하지 않기 위한 기술적 보안 판단도 반드시 고려돼야 합니다.
마무리
예스24의 이번 해킹 사고는 단순한 일회성 서버 오류가 아닌, 보안 체계 전반에 대한 재점검을 요구하는 심각한 침해 사고입니다. 향후 기업들은 유사 상황에서 고객 불편을 최소화하고 신속한 대응이 가능하도록 디지털 포렌식 기반 보안 체계와 침해 대응 프로세스를 보다 정교하게 마련해야 할 것입니다.
과학수사저널 기사보기
'과학수사' 카테고리의 다른 글
| [심층보도] 국정원 여직원 댓글 사건 – 선거 개입과 디지털 흔적의 추적 (6) | 2025.07.11 |
|---|---|
| 국가보안법 수사의 경계선 -“도청된 대화와 디스켓 속 문건, 증거가 될 수 있는가” (1) | 2025.07.10 |
| [법과 권력] 검사장의 문자, 디지털 포렌식이 검찰 권력을 흔든 날 (3) | 2025.06.26 |
| [법정리포트] 10% 수수료 환전 게임장, 디지털 흔적이 밝혀낸 범죄의 전말 (5) | 2025.06.25 |
| [심층분석] 죽음을 향한 디지털 흔적들 – 자살 예방, 이제는 기술이 답해야 한다 (1) | 2025.06.24 |