예스24, 랜섬웨어 공격으로 개인정보 유출…개인정보위 조사 착수
랜섬웨어 피해에 따른 회원정보 유출 정황 확인, 법 위반 여부 본격 조사
국내 대표 온라인 서점 예스24가 랜섬웨어 공격을 받아 개인정보가 유출되었을 가능성이 제기되었습니다. 개인정보보호위원회는 즉시 조사에 착수했으며, 이번 사건은 사이버 보안의 중요성과 기업의 대응 의무를 다시금 상기시켜주고 있습니다.
▶ 예스24, 6월 9일 랜섬웨어 공격으로 회원정보 유출 정황 확인
2025년 6월 11일, 개인정보보호위원회(이하 개인정보위)는 예스24(주)를 대상으로 한 개인정보 유출 사고에 대한 공식 조사에 착수했습니다. 이 사고는 6월 9일에 발생한 랜섬웨어 공격에서 비롯되었으며, 예스24는 6월 11일 오전 관련 유출 사실을 신고하면서 사태가 알려지게 되었습니다.
예스24 측은 랜섬웨어 공격에 대한 자체 보안 조치 과정 중 ‘비정상적인 회원정보 조회 정황’을 포착했고, 이는 단순 시스템 침해를 넘어 개인정보 유출 가능성이 있다는 의미로 해석됩니다. 이에 따라 개인정보위는 구체적인 유출 경로, 피해 범위, 대응 조치의 적절성 등을 종합적으로 조사할 예정입니다.
▶ 랜섬웨어 공격, 이제는 개인정보 유출의 주요 경로
‘랜섬웨어’는 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 복호화하는 대가로 금전을 요구하는 사이버 공격 유형입니다. 최근에는 단순 암호화에 그치지 않고, 암호화 전에 데이터를 빼내어 협박하는 ‘이중 갈취’ 수법까지 등장하고 있어 그 피해가 더욱 심각해지고 있습니다.
예스24처럼 대규모 회원 데이터를 보유한 플랫폼은 랜섬웨어의 주요 타깃이 되고 있으며, 특히 내부 시스템이 외부와 다층적으로 연결되어 있는 경우 공격이 더욱 용이합니다. 기업의 서버나 DB에 대한 접근 권한이 탈취되는 경우, 고객 이름, 아이디, 연락처, 구매내역 등 민감 정보가 외부로 유출될 가능성이 높아집니다.
▶ 개인정보위의 조사 초점: 법적 책임 규명
개인정보위는 이번 조사에서 다음과 같은 법적 요소들을 집중적으로 점검할 예정입니다:
- 유출 경위의 상세 확인
- 유출된 개인정보의 종류 및 범위
- ‘개인정보 보호법’ 제29조에 따른 안전조치 의무 이행 여부
- 침해 사고 인지 후, 신고 및 조치의 적시성
- 이용자에게의 통지 의무 및 피해 예방 조치의 적절성
특히 ‘안전조치 의무’는 기업이 해킹이나 침해 사고에 대비해 사전에 시스템 점검, 접근통제, 암호화, 백업 등의 조치를 취해야 한다는 내용을 담고 있으며, 위반 시 과징금 부과나 행정처분이 가능하도록 되어 있습니다.
▶ 한눈에 보는 요약
예스24, 6월 9일 랜섬웨어 공격 피해
비정상 회원정보 조회 정황…개인정보 유출 가능성
개인정보위, 위법 여부 확인 위한 조사 착수
보안 점검·백업 등 기업의 안전조치 중요성 재조명
더 자세한 내용은 아래에서 확인하세요.
▶ 기업의 보안 대응, 사후 조치보다 ‘선제적 예방’이 핵심
이번 사고는 기술적 보안 취약점뿐만 아니라, 평소 시스템 운영 방식과 내부 정책의 허점이 악용되었을 가능성을 시사합니다. 특히 다음과 같은 사전 조치들이 제대로 이루어졌는지 여부가 쟁점이 될 것으로 보입니다:
- 최신 보안패치 적용 여부
- 정기적인 취약점 점검 및 리포트 관리
- 백업 데이터의 오프라인 분리 보관
- 임직원 대상의 보안 인식 교육 여부
- 로그 및 침해 시도 기록의 상시 모니터링 시스템 운영
사후 대응도 중요하지만, 기본적인 보안 체계를 평소에 마련해두는 것이 더 효과적이고 비용 대비 효율이 높다는 점이 다시 강조되고 있습니다.
▶ 개인정보 유출에 따른 사용자 피해 우려
아직 구체적인 유출 규모는 확인되지 않았지만, 예스24는 다년간의 서비스 운영을 통해 수백만 명의 회원 데이터를 보유하고 있습니다. 개인정보가 유출될 경우, 사용자 입장에서는 다음과 같은 2차 피해로 이어질 수 있습니다:
- 스팸 문자 및 피싱 이메일 증가
- 개인정보를 활용한 금융 사기 시도
- 아이디 도용 및 계정 탈취
- 개인정보 재판매로 인한 확산 피해
이에 따라 개인정보위는 피해 가능성이 있는 이용자들에게 조기 통지와 함께, 비밀번호 변경, 모니터링 강화 등을 안내할 것을 예스24에 요청할 예정입니다.
▶ 보안사고 신고와 공공기관 대응체계 강화 필요
공공기관은 이번 사건을 계기로 기업 보안사고 대응체계를 보다 강화할 방침입니다. 특히 ‘개인정보 유출사고 대응 매뉴얼’과 ‘사이버보안 가이드라인’ 등을 점검·개편하고, 정기적인 업계 설명회를 통해 업계의 실무 수준을 끌어올릴 계획입니다.
또한 사고 발생 시에는 실시간 신고가 가능하도록 ‘개인정보 침해신고센터’를 활성화하고, 정보공유체계를 통해 다른 기업들에도 즉시 경고할 수 있도록 시스템을 고도화할 예정입니다.
▶ 공공기관 정보 확인하기
- 개인정보보호위원회: https://www.pipc.go.kr
- 한국인터넷진흥원(KISA): https://www.kisa.or.kr
- 침해사고 신고센터: https://privacy.kisa.or.kr
당신의 개인정보는 당신의 권리입니다.
기업의 보안 의무는 선택이 아닌 책임입니다.