예스24가 두 달 만에 또다시 해킹 공격을 받으며 대형 전자상거래 플랫폼의 보안 책임이 도마 위에 올랐다. 일정 규모 이상 기업에 강한 책임을 부여해야 한다는 의견도 나온다. 정보 보안은 기술보다는 '책임'과 '규제'의 문제라는 취지다.

예스24에서 해킹 사태가 재발하며 개인정보 보안 우려가 커지고 있다. 13일 보안업계에 따르면 기업의 책임과 관련해 제도를 정비해야 한다는 지적이 제기됐다. 업체의 규모가 클수록 정보 보안에 강한 책임을 부여야 한다는 것이다.

현재 개인정보보호법에 따르면 개인정보처리자로 공공기관, 법인, 단체와 개인 등을 포함하고 있으나 규모나 기업형태와 관련한 책임은 명시되지 않았다. 이에 황석진 동국대학교 국제정보보호대학원 교수는 여성경제신문과의 통화에서 "업체의 규모에 따라 정보 보안에 대한 책임을 강화해야 한다"라고 주장했다.

그는 "특정 산업에서 영향력 있는 업체일수록 개인정보보호에 각별한 신경을 써야 한다"라며 "안일한 태도를 유지하기보다는 기준을 세워 일정 규모 이상 기업에는 엄격한 책임을 부여해야 한다"라고 비판했다.

지난 11일 예스24의 인터넷 사이트는 해킹으로 먹통이 됐다. 새벽 4시 40분쯤 외부 랜섬웨어 공격으로 도서 검색, 주문 도서 배송, 티켓 예매 등의 주요 서비스 사용이 불가능해졌다. 이후 약 7시간이 지난 오전 11시 30분에야 모든 서비스의 이용이 가능해졌다.

예스24는 지난 6월 9일에도 랜섬웨어 공격을 받아 서비스를 전면 중단했다. 이때 "재발 방지를 위해 보안 점검과 시스템 관리 체계를 강화하고 예방 조치에 만전을 기하겠다"라고 말했으나 2개월 만에 해킹이 재발해 비판의 목소리가 거세다.

예스24는 1999년 4월 1일 국내 최초의 인터넷서점으로 출발한 기업으로 국내 온라인 서점 시장에서 지난 2019년 기준 약 42%의 점유율을 기록했다. 2025년 잡플래닛 소개 글에도 '전체 온라인서점 중 40%를 상회하는 시장점유율을 기록'이라고 적혀 있다. 현재 회원 수는 2000만명으로 나타난다.

복구 과정에서 해커들에게 거액의 가상자산을 주고 문제를 해결했다고 알려졌다. 또다시 랜섬웨어 공격이 벌어지며 해커의 먹잇감이 된 것 아니냐는 논란이 제기됐다. 예스24는 해당 사안에 대해 공식적인 입장을 밝히지는 않았다.

한편 일부 전문가들은 안전한 정보 관리를 위해 보편적인 보안 체계를 만들어야 한다고 주장한다. 규모에 따라 보안을 강화하는 것도 중요하지만 개인 정보를 갖고 있는 기관이라면 기본적으로 지켜야 할 체계를 법으로 만들어야 한다는 것이다. 김창훈 대구대학교 정보보호학과 교수는 여성경제신문과의 통화에서 "보통 소 읽고 외양간 고친다고 하지만 개인정보는 애초에 잃어선 안 된다"라고 말했다. 한 번 노출된 개인정보를 복구할 수는 없으며 노출된 정보를 바탕으로 추가적인 피해가 발생할 수 있기 때문이다.

또한 김 교수는 SKT 사태를 언급하며 "통신사들이 대한민국의 거의 모든 개인 정보를 가지고 있음에도 불구하고 국가 주요 정보통신 기반 시설로 지정이 돼 있지 않다"라며 "민간을 담당하는 한국인터넷진흥원(KISA)는 권한이 없는 상황이라 힘을 실어줘야 한다"라고 했다.

지난 4월 SKT 가입자 인증 서버가 해킹당해 2500만 명의 유심 정보가 유출됐다. 대형 업체의 개인정보 유출이 반복되면서 대형 플랫폼일수록 법으로 강제된 보안 의무와 정기 모의훈련 체계가 필요하다는 지적이 반복되고 있다.

여성경제신문 김민 기자 kbgi001@seoulmedia.co.kr