[광화문에서/조종엽]예스24 해킹 사태… 대항해 시대와 첩보영화 사이

9 hours ago 4

법보다 주먹이 가까운 곳에선 대항해 시대의 해적 같은 무법자들이 판을 치게 마련이다. 최근 빈발하는 랜섬웨어(ransom·몸값+software·소프트웨어) 해킹이 딱 그 꼴이다. 해커에게 데이터를 인질로 잡히면 ‘몸값’을 내야 시스템을 복구할 수 있는데, 망망대해에서 해적을 만난 상선처럼 당장은 공권력에 신고해도 별 도움이 안 된다. 당하지 않으려면 자위력을 갖춰야 하는데, 작은 배들은 인식도 부족하고 ‘비용이 든다’는 이유로 투자를 잘 하려 하지 않는다. 해적에게 통행세를 뜯기던 시절이 다시 오고 있다.

최근 국내 대형 온라인서점 예스24가 랜섬웨어 해킹을 당했다. 도서 구매와 공연 티켓 예매, 디지털 콘텐츠 다운로드 등이 중단돼 매출 피해가 이달 9일부터 약 5일 동안 100억 원에 이른 것으로 추정된다. 지금은 시스템이 거의 정상화됐다지만 해킹으로 개인정보 유출이나 저작권 침해가 있었는지는 향후 조사 결과를 지켜봐야 안다. 가능성은 작지만 만에 하나 원전 운용 시스템이나 ‘…페이’가 해킹을 당한다면 어떤 일이 벌어질지 상상만 해도 아찔하다.

예스24는 사태 초기 한국인터넷진흥원(KISA)에 신고는 했지만 홈페이지엔 ‘시스템 장애’라며 해킹 사실을 밝히지 않다가 뒤늦게 인정했다. 16일엔 “랜섬웨어 공격이라는 특수성상 해커가 외부 반응을 감시하거나 추가 위협을 가할 수 있어서 정보 공개 수위와 시점을 신중하게 접근할 수밖에 없었다”며 양해를 구했다.

예스24는 소비자를 대상으로 하는 회사여서 해킹 사실을 숨기기 어려웠을 뿐이라는 시각도 있다. 최근 제조업체를 겨냥한 랜섬웨어 공격이 부지기수지만 드러나는 건 빙산의 일각에 불과하다고 한다. 정부에 신고해 봐야 시스템을 복구해 주는 것도 아니니, 그냥 쉬쉬하며 해커에게 대가를 지불하는 경우가 대부분이라는 것이다. 국제 랜섬웨어 대응 이니셔티브(CRI)의 일원인 한국은 CRI의 기조에 따라 피해 기업에 ‘대가를 지불하지 말라’는 권고를 하고 있다.

먼저 개선해야 할 것은 걸음마 수준인 다수 기업의 사이버 보안 의식이다. 2023년 알라딘 전자책 유출 사건을 계기로 대한출판문화협회가 보안 실태조사를 했지만 예스24는 참여하지 않은 것으로 알려졌다. 마이크로소프트가 보안 업데이트를 중단한 구닥다리 윈도 운용체제(OS)를 일부 서버 시스템에 쓰는 등 보안이 전반적으로 허술했다는 얘기도 들린다.

요즘 해킹은 점점 첩보영화를 닮아가는 것 같다. 고도의 기술을 가진 해커가 아니라도 인공지능(AI)으로 쓸 만한 랜섬웨어를 만들 수 있다고 한다. 최근 불거진 SK텔레콤 해킹은 침투 후 잠복 기간이나 정보 유출 규모로 미뤄 볼 때 특정국과 연관된 해커의 소행이 아니냐는 의심마저 나오고 있다. 미국이 CRI를 주도하자 중국과 러시아는 ‘사이버 안보 협력 협정’을 체결하는 등 진영에 따라 해킹 대응도 갈라지고 있다. 영화 ‘미션 임파서블’의 ‘토끼발’(세계를 위협하는 악성 코드)이 마냥 공상 같지가 않다.

대항해 시대의 해적은 각국이 해군력을 강화하고 단속하면서 비로소 사라졌다. 비트코인이 있기에 ‘보물섬’을 따로 마련할 필요도 없는 사이버 해적은 잡기가 훨씬 까다로울 것이다. 당장은 기업들이 경각심을 갖고 보안 백업 시스템을 마련하는 한편, 정부와 정보를 공유하고 협력해 대처하는 수밖에 없다.