보안당국과 협력해 랜섬웨어 해킹 사태에 대응 중이라는 예스24의 주장에 대해 한국인터넷진흥원(KISA)이 “사실이 아니다”며 정면으로 반박했다. 예스24 측이 기술 지원을 거부했다는 것이다. 예스24 랜섬웨어 해킹 사태가 민관의 진실 공방으로까지 비화되는 모양새다. 업계에서는 강제 조사 권한이 없는 KISA 특성상 사태 파악에 한계가 있을 수밖에 없다는 지적이 나온다.
KISA는 지난 11일 밤 ‘예스24 2차 입장문에 대한 설명’ 자료를 내고 “예스24는 KISA와 협력해 원인 분석 및 복구 작업에 총력을 다하고 있다고 발표했으나 이는 사실과 다르다”고 밝혔다. 소속 분석 전문가들이 예스24 본사로 지난 10일~11일 두 차례에 걸쳐 방문해 기술 지원을 권유했으나 거절당했다는 게 KISA 측 주장이다. KISA는 “첫 출동 당시 상황을 구두로 전달받은 것 외에는 추가적으로 확인하거나 협력해 조사한 사실이 없다”고 말했다.
이는 예스24 측이 밝힌 해킹 사태 관련 입장과 배치된다. 예스24는 같은 날 낸 입장문에서 권민석 최고보안책임자 및 관련 부서가 KISA와 협력 중이라고 밝혔다. 랜섬웨어 감염 시 정보기술(IT) 관련 전문 분석팀을 보유한 만큼 1차 분석 후 KISA와 종합적으로 검토하는 절차가 있는데, 이에 따라 움직이고 있다는 설명이었다.
업계에서는 이런 일이 발생한 원인으로 KISA의 부족한 권한을 꼽는다. 과징금 부과 등 직접적인 페널티를 가할 권한이 있는 개인정보보호위원회나 검찰 등과 달리 KISA는 대상 기업이 협조를 거부하더라도 뾰족한 대응 수단이 없다. 김승주 고려대 정보보호대학원 교수는 “KISA가 적극적으로 조사 활동을 벌일 수 있도록 권한을 확대해야 한다는 지적이 수차례 나왔지만 아직도 변함이 없는 상황”이라며 “해외의 경우 해킹 조사뿐 아니라 기업이 해커와 협상을 벌이는지 등 재무적 판단까지도 전부 들여다볼 수 있는 조직이 존재한다”고 지적했다.
해킹 피해를 입은 기업들이 KISA의 기술 지원을 꺼리는 이유도 충분하다는 시각도 있다. 한 보안업계 관계자는 “최근 랜섬웨어 해커들은 기업 재무 정보까지 모두 탈취한 다음 피해 기업이 현실적으로 지불 가능한 액수만을 요구해 몸값 지불에 대한 신뢰도를 높이는 경우가 많다”며 “예스24로서도 대가를 지불하고 암호화를 푸는 게 가장 현실적인 선택지일 수 있다”고 말했다. 김 교수는 “기업 입장에서는 정부 조사를 통해 소송이나 과징금 산정에 불리한 증거가 필요 이상으로 발굴될 수 있으니 협조를 꺼리게 되는 것”이라고 설명했다.
이에 예스24 관계자는 “KISA와의 협력 여부에 대해 확인한 뒤 추후 입장을 발표할 예정”이라고 말했다.
김지훈 기자 germany@kmib.co.kr