YES24 해킹사건 – 표적형 랜섬웨어의 부활
2025년 6월, 예스 24가 겪고 있는 랜섬웨어 공격은 단순한 보안 사고를 넘어선 구조적 문제를 드러내고 있다.
2천만 명의 회원을 보유한 국내 최대 온라인 서점이자 문화 콘텐츠 플랫폼이 사흘째 완전히 멈춰 선 상황은, 우리 산업계 전반에 던지는 강력한 경고다.
침투의 시작점
예스24 해킹의 정확한 공격 벡터는 아직 공개되지 않았다.
현재까지 확인된 것은 해커들이 회원 정보를 암호화하고 금전을 요구했다는 사실뿐이다. 하지만 이런 대규모 플랫폼이 완전히 마비되는 양상을 보면, 몇 가지 전형적인 시나리오들을 추론해 볼 수 있다.
외주 관리 서버를 통한 침투가 가능성이 높다.
많은 기업들이 클라우드나 전용 호스팅을 통해 인프라를 운영하지만, 정작 그 구조나 보안 책임 체계는 명확히 파악하지 못하는 경우가 많다. 특히 운영 서버와 백업 서버가 동일한 네트워크 구조나 계정 체계로 관리될 때, 하나의 침투점이 전체 시스템의 마비로 이어진다.
또 다른 가능성은 정교한 스피어 피싱이나 공급망 공격이다.
2025년의 랜섬웨어 그룹들은 단순한 무차별 공격을 넘어, 특정 기업의 조직도, 이메일 패턴, 업무 프로세스까지 사전에 분석해 가장 효과적인 침투 지점을 찾아낸다.
흥미로운 점은 예스24가 한국인터넷진흥원(KISA)에 피해를 신고했음에도 불구하고, 초기에는 기술 지원 협조를 지연했다는 사실이다. 고객들에게는 '시스템 점검 중'이라는 모호한 공지만 내보냈지만, 실상은 인프라 전체가 암호화되어 손쓸 수 없는 상태였던 것이다.
한국의 랜섬웨어 피해 현실
예스24 사태를 제대로 이해하려면, 한국이 이미 랜섬웨어의 주요 타깃이 되어온 현실을 직시해야 한다.
한국랜섬웨어침해대응센터가 추정한 국내 총 피해액은 2조 5천억 원에 이르며, 2020년 신고 건수는 127건으로 2019년 39건 대비 325% 급증했다.
특히 주목할 점은 대기업들도 예외가 아니라는 사실이다.
2023년 현대중공업과 동성그룹이 랜섬웨어 공격을 받아 일부 전산망이 감염되었고, 2022년 현대삼호중공업이 하이브(HIVE) 랜섬웨어 그룹의 공격을 받아 시스템이 마비되기도 했다.
중소기업의 피해는 더욱 심각하다.
2021년 배달대행 업체 슈퍼히어로가 중국발 랜섬웨어 공격을 받아 전국 3만 5천 개 점포와 1만 5천 명 라이더가 피해를 입었다. 회사는 결국 해커가 요구한 비트코인을 지불하고 35시간 만에 서비스를 복구했다.
이처럼 한국의 랜섬웨어 피해는 업종과 규모를 가리지 않고 전방위적으로 확산되고 있다.
진화한 랜섬웨어 - 2025년의 새로운 위협
많은 사람들이 랜섬웨어를 2017년 워너크라이(WannaCry) 시절의 구식 위협으로 기억한다. 하지만 현재의 랜섬웨어는 완전히 다른 차원으로 진화했다.
과거의 랜섬웨어가 이메일을 통한 무차별 유포로 공포를 조성하는 방식이었다면, 2025년의 랜섬웨어는 정밀한 표적형 공격의 형태를 띤다. 공격자들은 몇 개월에 걸쳐 타깃 기업의 내부망을 정찰하고, 백업 구조를 파악한 뒤, 가장 치명적인 타이밍에 공격을 실행한다.
더욱 교묘한 점은 이들이 단순히 데이터를 암호화하는 것을 넘어 '의사결정 구조'를 마비시키는 심리전을 구사한다는 것이다.
"당신들의 백업도 우리가 이미 파악했다", "복구하려면 우리와 협상할 수밖에 없다"는 식으로 조직의 대응 능력 자체를 무력화시킨다.
정교한 사이버전과는 별개로, **먹고 살아야 하는 '랜섬웨어 장인들'**은 계속 활동 중이다.
이들에게 랜섬웨어는 이념이나 정치적 목적이 아닌, 그저 생계를 위한 수단이다. 마치 숙련된 직업인처럼 매일 새로운 타깃을 찾고, 기법을 개선하며, 수익을 극대화하는 방법을 연구한다.
AI 기술의 발달은 이러한 공격을 더욱 정교하게 만들고 있다. 공격자들은 이제 개별 기업의 조직 구조, 이메일 패턴, 권한 체계까지 자동으로 학습해 최적화된 침투 경로를 설계할 수 있다.
기업 보안의 현실 - 책임 없는 영역
예스24 사태가 드러내는 가장 큰 문제는 기업들의 보안에 대한 인식이다.
현실적으로 많은 조직에서 보안팀은 매출을 내지 못하는 비용 부서로 취급받는다. 경영진은 보안을 '기술적 문제'로 치부하고, 현장 실무자들은 '예산 부족'을 이유로 근본적 대책을 마련하지 못한다.
이런 환경에서 백업은 '있으면 좋은 것' 정도로 여겨진다.
정기적인 복구 시뮬레이션은 커녕, 백업 데이터가 실제로 복원 가능한지조차 확인하지 않는 경우가 대부분이다. 클라우드 서비스를 도입했다고 해서 모든 책임이 서비스 제공자에게 넘어간다고 착각하기도 한다.
결국 보안은 조직 내에서 책임도 없고 권한도 없는 영역이 되어버린다. 이런 공백을 정확히 노리는 것이 현재의 랜섬웨어 그룹들이다.
침묵하는 협상 - 공개되지 않는 진실
예스24과 같은 사건들이 앞으로 더욱 빈발할 것으로 예상되는 이유는, 이미 많은 기업들이 비공식적 협상을 통해 문제를 해결하고 있기 때문이다.
공식적으로는 "시스템 복구 중"이라고 발표하지만, 실제로는 몸값을 지불하거나 전문 협상업체를 통해 복호화 키를 확보하는 경우가 많다. 이런 과정은 언론에 보도되지 않고, 공식 기록에도 남지 않는다. 고객들은 단지 '며칠간 접속이 안 되는' 불편함만 겪을 뿐이다.
하지만 그 이면에는 수억 원의 비용이나, 더 심각하게는 기업의 신뢰도 전체가 걸려 있다.
l랜섬웨어는 이제 증상도 없이 퍼지는 전염병과 같다. 우리는 이미 감염되어 있을지도 모른다.
근본적 대안 - 지금이라도 바꿔야 할 것들
이번 예스24 사태를 통해 얻어야 할 교훈들을 정리하면 다음과 같다.
첫째, 백업의 존재보다 복원 가능성이 중요하다. 주기적인 복구 시뮬레이션 없이는 백업은 허상에 불과하다. 실제 공격 상황에서 얼마나 빨리, 얼마나 완전하게 복원할 수 있는지를 정기적으로 검증해야 한다.
둘째, 운영 환경과 백업 환경의 완전한 분리가 필수다. 같은 계정, 같은 네트워크 구조에서 관리되는 백업은 공격 시 운영 시스템과 함께 무력화된다. 물리적, 논리적, 관리적 분리가 모두 이뤄져야 한다.
셋째, 외주 서비스라도 구조는 반드시 이해해야 한다. 클라우드는 마법이 아니다. 서비스 제공자와 이용자 간의 책임 분담을 명확히 하고, 보안 설정과 관리 구조를 정확히 파악해야 한다.
넷째, 보안팀을 지출이 아닌 보험으로 인식해야 한다. 사고가 난 후 100배의 비용을 쓰는 것보다, 지금 적절한 투자를 하는 것이 현명하다. 보안은 비용이 아닌 리스크 관리다.
다섯째, 보안 사건은 기술 문제가 아닌 조직의 선택 결과라는 점을 인식해야 한다. 명확한 책임자와 의사결정 구조가 없다면, 다음 타깃은 바로 당신의 조직이 될 수 있다.
새로운 표준이 된 위협
예스24 사태는 하나의 경고다.
이것이 일시적인 위기가 아니라, 우리가 직면한 새로운 현실이 되고 있음을 받아들여야 한다. 랜섬웨어는 사라지지 않았다. 오히려 더욱 정교하고 치명적으로 진화하고 있다.
기업들은 이제 선택해야 한다. 지금 당장 근본적인 보안 체계를 구축할 것인가, 아니면 언젠가 올 공격을 당하고 나서야 뒤늦게 대응할 것인가.
예스24의 오늘이 우리의 내일이 되지 않으려면, 지금이 마지막 기회일지도 모른다.
추가 : 레거시 시스템에 대한 보안 리스크
죽어있는 시스템이 살아있는 위협이 되는 순간
2025년 3월, 오라클이 당한 사이버 공격은 현대 기업들이 놓치기 쉬운 맹점을 적나라하게 드러냈다. 공격자들은 최신 보안 시스템이 아닌, 8년 전부터 사용하지 않던 구형 인증 서버를 통해 침입했다. 패치되지 않은 취약점을 악용해 LDAP 및 SSO 계정 수백만 건을 탈취한 이 사건은, 방치된 시스템이 얼마나 위험한 통로가 될 수 있는지를 보여준다.
예스24 사태가 드러낸 구조적 복잡성
예스24 랜섬웨어 사건을 분석하는 과정에서, 개발자 커뮤니티에서는 흥미로운 지적들이 나왔다. 한 개발자는 ASP, ASP.NET, MSSQL 기반의 20년 넘게 누적된 레거시가 너무 많아서 관리하기 어려웠을 것이라고 분석했다. 또한 DB백업이 있더라도 어느 부분을 어느 시점에 백업했느냐가 문제의 핵심이라고 지적했다.
추가 지적 사항은 IT 운영 책임자의 중요성이다. IT 운영은 회사의 최고 책임자가 담당해야 하며, 해킹에 대응하는 가장 기초적인 방법은 클라우드와 서버리스를 활용해 운영 부담을 줄이는 것이라는 현실적 조언도 제시되었다.
방치된 자산들의 역습
레거시 시스템의 위험성은 활성 운영 여부와 무관하다는 점에서 더욱 교묘하다. 백업 서버, 테스트 환경, 구형 인증 모듈들이 네트워크 한 구석에서 조용히 숨어있다가 공격자들의 진입로가 된다.
이런 일이 반복되는 이유는 단순하다. 조직 내에서 이런 시스템들은 **"아무도 책임지지 않는 영역"**이 되기 때문이다. 새로운 시스템 구축에는 관심과 예산이 집중되지만, 기존 시스템을 정리하고 폐기하는 일은 우선순위에서 밀려난다.
실천 가능한 대응 방안
첫째, 자산 인벤토리의 정기적 갱신이다. 분기마다 네트워크에 연결된 모든 시스템을 점검하고, 각각의 용도와 책임자를 명확히 해야 한다.
둘째, 명확한 폐기 절차 수립이다. 시스템을 구축할 때부터 언제, 어떻게 폐기할 것인지에 대한 계획을 세워야 한다.
셋째, '최소 권한 원칙'의 철저한 적용이다. 사용하지 않는 시스템이라도 네트워크에 연결되어 있다면, 접근 권한을 최소한으로 제한해야 한다.
추가 결론 : 보안은 정리정돈에서 시작
예스24 사태와 오라클 해킹 사건이 주는 교훈은 명확하다. 현대의 사이버 보안은 최신 기술의 문제가 아니라, 기본적인 관리의 문제라는 것이다.
진정한 보안 성숙도는 새로운 것을 도입하는 능력이 아니라, 불필요한 것을 과감히 정리하는 용기에서 나온다.
