예스24, '해킹 맛집' 오명…왜 또 먹통됐나
지난 6월 랜섬웨어로 홍역을 치렀던 인터넷 서점 예스24가 2개월 만에 같은 이유로 먹통이 됐다. 2개월 새 해킹이 또다시 발생하자 전문가들은 지원이 종료된 운영체제 사용과 백업 데이터 내 악성코드 잔존 가능성을 원인으로 꼽았다. 또 첫 해킹 발생 이후 데이터 분석, 취약점 진단 등 적극적인 사후 대처도 필요하다고 강조했다. 11일 오전 9시 예스24 홈페이지는 접속이 불가능했을 뿐만 아니라 전자책과 같은 서비스를 이용할 수 없는 상태가 계속됐다. 예스24는 사과문을 통해 “이날 새벽 4시 30분경 외부 랜섬웨어 공격을 받아 서비스 접속이 불가능한 상황이 발생했다”며 “백업 데이터를 활용해 서비스를 빠르게 복구 중”이라고 설명했다. 이후 대략 7시간이 흐른 오전 11시 30분경 홈페이지와 앱이 정상적으로 복귀되며 접속이 가능해졌다. 예스24 홈페이지와 앱이 랜섬웨어로 인해 먹통이 된 것은 대략 2개월 만이다. 지난 6월에 발생한 예스24 해킹 사건은 기술 지원이 종료된 윈도우 운영체제(OS)를 사용한 것이 원인으로, 해커에게 수십억원에 달하는 비트코인을 지불하고 사태를 해결한 것으로 알려졌다. 당시 김석환, 최세라 예스24 공동대표는 "보안체계를 원점에서 재점검할 예정"이라며 "외부 보안 자문단을 도입하고 보안 예산을 확대해 시스템 설계부터 운영 전반까지 플랫폼의 신뢰도와 복원력을 강화하겠다"고 약속했다. 오래된 윈도 OS 사용 탓…해킹 재발에 소비자 신뢰 '바닥' 대표 차원에서 보안을 강화하겠다는 입장을 밝혔음에도 2달 만에 다시 해킹이 반복되면서 소비자 불신이 커지고 있다. 보안업계 전문가들은 오래된 윈도를 업데이트하지 않고 계속해서 사용한 것이 원인일 수 있다고 지목했다. 보안업계 관계자는 "윈도 OS의 경우 새로운 게 출시됐다고 업데이트했다가는 환경에 따라 코드가 작동 안하는 경우가 종종 있다"며 "예스24와 같이 대규모 데이터를 관리하는 곳은 잘못하면 데이터가 사라지거나 전사 시스템에 문제가 생길 수 있어 보통 이런 부분에서 굉장히 보수적"이라고 말했다. 이어 "또 너무 업데이트를 안하면 이런(랜섬웨어 감염) 일이 생긴다"며 "이렇게 짧은 시간에 다시 걸린 것으로 보아 업데이트 준비 중이었는데, 랜섬웨어에 걸렸을 가능성이 높다"고 설명했다. 염흥열 순천향대 정보보호학과 교수는 "수명이 다한 OS는 취약점이 굉장히 많다"며 "OS 회사들은 지원이 종료된 OS에 보안 업데이트를 해주지 않는다. 해커 입장에서는 OS별로 취약한 점을 다 알고 있는데, 회사들이 이를 지원해 주지 않다 보니 취약점이 메워지지 않는다"고 언급했다. 그는 "만약 이전과 같은 해커의 소행일 경우 취약점을 알고 있기 때문에 그 부분을 다시 공격해 랜섬웨어를 감염시켰을 가능성이 있다"며 "지난번에 시스템의 취약점이 완전히 복구되지 않았다면 다른 공격자가 취약점을 찾아 공격했을 수도 있다"고 짚었다. 또 다른 이유로는 예스24가 백업해둔 데이터에 악성코드의 잔존 가능성도 거론된다. 김명주 서울여대 정보보호학과 교수는 "백업된 데이터를 다시 풀어서 원위치시키고 새로 생긴 것만 추가하는 방식으로 랜섬웨어에 감염된 데이터를 복구시킨다"며 "직원들이 사용하는 백업 데이터 가운데 악성코드가 있는지 찾아봐야 한다"고 조언했다. 그는 시스템이나 네크워크에 숨겨진 비정상적인 경로를 제공하는 백도어가 있을 가능성도 염두에 둬야 한다고 언급했다. 김 교수는 "백도어를 심어두면 기존의 취약점을 보완했어도 이와 상관없이 (시스템에) 들어올 수 있다"고 부연했다. 익명을 요청한 보안업체 대표 역시 "랜섬웨어 감염 경로는 다양하다"면서 "도둑이 도둑질을 하고 나서 다시 그 집을 기웃거리는 것처럼 해커들이 결국 예스24가 조치를 잘 해놨는지 다시 한 번 공격을 시도한 것으로 보인다. 예스24가 복구되긴 했지만 앞선 랜섬웨어 2차 공격 시도의 경우 대응이나 준비가 여전히 제대로 이뤄지지 않았고, 결국 다시 공격을 당하는 결과를 초래했다"고 밝혔다. "사후 조치도 사전 예방만큼 중요"…향후 침투 경로 파악 '관건' 보안업계 전문가들은 랜섬웨어 예방에는 사전 조치도 중요하지만 사후에도 적절한 조치를 취하지 않으면 다시 위험에 노출될 수 있다고 강조한다. 염 교수는 다른 해킹 그룹의 추가 해킹 가능성에 대해 "당연하다"며 "랜섬웨어 감염을 위해 공략했던 취약점이 알려질 수 있다"고 내다봤다. 한 보안업체 레드팀 연구원도 "랜섬웨어 공격이 한 번 이뤄지면 여러 공격 그룹의 타깃이 된다"며 "따라서 한 번 침해사고가 일어나면 데이터 및 원인 분석, 취약점 진단 등 사후 조치도 굉장히 중요한데, 예스24에 대한 랜섬웨어 공격 시도가 다시 일어난 점은 이러한 사후 조치에 소홀한 경우로 보인다"고 지적했다. 그는 "당초에 예스24가 KISA 측의 기술 지원에도 적극적으로 응하지 않았던 가운데 재차 랜섬웨어 공격을 받았다는 것만으로 소비자 신뢰를 무너뜨리는 행위"라며 "KISA의 기술지원과 더불어 예스24가 취약점 진단을 받거나 보안 인력을 추가로 투입하는 등의 전방위적인 사후 보안 강화 조치를 취했어야 했다"고 강조했다. 또한 그는 "관건은 잔존해 있던 악성코드로 공격이 이뤄진 것인지, 새로운 방법으로 침투가 일어난 건지 아직 파악이 되지 않았기 때문에 사후 대처의 시작점은 침투 경로부터 파악하는 것"이라고 말했다. 지난 6월 첫 번째 랜섬웨어 공격이 있었을 당시 KISA는 예스24 기술지원에 나서며 재방 방지에 초점을 맞춰 지원하겠다는 방침을 밝힌 바 있다. 다만 KISA 측은 아직 사건 발생 초기인 만큼 침투 경로가 명확히 파악되지 않았다는 입장이다. KISA 관계자는 "지난 6월 랜섬웨어 사태에 대한 여파로 이번에도 랜섬웨어 공격이 이뤄진 것인지, 새로운 건이 발생한 것인지는 파악 중"이라며 "침투 경로 등이 파악된 후 예스24의 조치가 미흡했는지 등의 여부와 관련해 확실하게 전달드릴 수 있을 것"이라고 말했다. 예스24 측은 서비스 복구 안내에서 "이용에 불편을 드린 점 다시 한번 진심으로 사과드린다"고 짧은 사과를 남겼다. 예스24 관계자는 지난 6월 랜섬웨어 감염 이후 강화한 보안 조치에 대해서는 언급을 피하며 "KISA의 조사 결과에 따라 취약점 보완 방향이 달라져 지금 강화된 보안 조치를 언급하기는 어렵다"고 말했다.
