[비즈한국] 예스24의 마비 사태 등 국내 주요 서점과 전자책 플랫폼에서 해킹 피해가 잇따르면서 업계 보안 역량에 대한 우려가 커지고 있다. 2023년 알라딘의 전자책 유출 사태 당시에도 보안 체계의 취약성과 개선 필요성이 지적됐다.
오프라인 중심이던 과거와 달리 전자책 유통과 온라인 판매 비중이 확대되면서 업계의 디지털 의존도는 크게 높아졌다. 동시에 고도화되는 사이버 위협과 복잡해진 클라우드·서버 환경, 내부 시스템의 보안 사각지대 등이 맞물리며 정보보안은 기술 운영의 기반이자 기업 경영의 핵심 리스크로 부상하고 있다. 서점업계 정보보안 체계의 현주소를 점검해본다.
최근 예스24는 랜섬웨어 해킹으로 인해 닷새간 접속이 마비되는 사태를 겪었다. 홈페이지·앱 접속, 전자책(e북) 다운로드와 티켓 예매 등 온라인 서비스가 중단되고 오프라인 매장의 도서 검색, 일부 상품 결제까지 차질을 빚으면서 기술 인프라와 보안 대응 역량이 도마 위에 올랐다. 이번 사태는 회사가 전 회원 대상 5000원 상품권 지급 등을 포함하는 1·2차 보상안을 발표하며 수습 국면에 들어섰지만, 알라딘의 전자책 대규모 유출 사태 이후 2년 만에 업계에 발생한 대형 보안 사고라는 점에서 관련 산업 내 보안 체계에 근본적인 질문을 던졌다.
비즈한국은 매출, 기업 규모와 점유율 등을 기준으로 국내 주요 서점·전자책 플랫폼 기업 4개사에 정보보호 실태와 관련해 질의했다. 교보문고, 예스24, 알라딘, 리디 등 대상 기업 모두 정보 보호 관련 투자 규모를 확대해 보안 역량을 강화하고 있다고 밝힌 가운데 정보보호 조직 구성이나 CISO(최고정보보안책임자) 운영 방식 등에서는 각기 다른 양상을 보였다.
#정보보호 전담 조직, 교보문고·예스24만 운영
교보문고, 예스24, 알라딘, 리디 등 4개사 중 정보보호 조직을 별도 부서로 두고 있는 곳은 교보문고와 예스24 두 곳이었다. 교보문고는 2015년 정보보안파트 조직을 구성한 후 정보보안실로 확대 개편해 운영 중이다. 예스24의 경우 시스템 운영 업무와 분리한 정보보호 전담 부서를 갖추고 있다고 밝혔지만 정확한 조직 구성은 확인되지 않았다. 반면 알라딘과 리디는 정보보안 부서를 따로 운영하고 있지는 않은 것으로 파악됐다.
정보 보안 역량을 가늠하는 주요 지표는 전담 인력 운영 현황과 투자 규모, CISO 지정·운영 여부, 정보보호 관련 인증 등이다. 이는 정보 보안 관리·운영 역량을 객관적으로 보여주는 필수 지표로서 법률상 정보보호 공시 의무 대상 기업에 요구되는 항목이기도 하다.
기업의 정보보호 업무를 총괄하는 CISO는 4개사 모두 지정하고 있지만 겸직 여부가 갈렸다. 리디의 경우 최고기술경영자(CTO) 직속으로 CISO를 두고 보안업무를 수행하고 있다. 외형상 별도 조직은 없는 것으로 파악되나, 타 업무와 겸직하지 않는 보안 전담자를 중심으로 내부 보안 정책 수립과 실행 등 정보 보호 체계를 운영하고 있다는 설명이다. 리디 측은 “전문 인력을 배치해 관련 업무를 전담하고 있으며, 필요 시 외부 전문기관과의 협업도 병행하고 있다”고 밝혔다.
정보 보안 조직과 CISO 운영 현황 등을 종합적으로 고려하면 보안·인력 측면에서 교보문고가 가장 체계적인 구조를 갖추고 있는 것으로 나타났다. 교보문고의 CISO는 정보보안실 실장이 맡고 있어 비교적 보안 정책의 독립성과 전문성이 안정적으로 확보되는 체계다.
한국인터넷진흥원(KISA) 정보보호 공시 포털에 따르면 예스24의 CISO는 CPO(최고개인정보보호책임자)를 겸직한다. 예스24는 매출액 요건에 부합하는 상장사로서 4개사 중 유일하게 정보보호 공시 의무가 있다. CISO와 CPO는 유사 업무로 인식돼 대기업에서도 통합 운영되는 사례가 빈번하지만, 책임 소재가 불명확해지는 부작용 등 효율성에 치중한 전략이라는 비판도 제기된다.
CISO 겸직 여부는 기업의 보안 역량을 보여주는 실질적인 지표 중 하나다. 타 직무와 겸직할 경우 통상적으로 정보보호 업무에 충분한 자원을 투입하지 못해 보안 정책 수립과 위험 대응, 통제에 한계가 생길 수 있다고 판단된다. 일정 규모(자산총액 5조 원 등) 이상 정보통신기업에서 사내 CISO 겸직이 금지되는 이유다. 다만 예스24는 겸직 금지 대상에는 해당하지 않는다.
알라딘은 웹 인프라를 담당하는 개발팀 한 곳과 감사 조직이 분담하는 형태로 보안업무를 수행 중이라고 밝혔다. 개발팀이 기술적인 실무를 맡고 감사 조직에서 보안 정책·규정 및 내부 통제와 관련한 업무를 수행하는 형태다. CISO는 사내이사가 겸직하고 있다.
4개사 중 교보문고, 리디는 정보보호 관리체계(ISMS-P) 인증을, 예스24는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 각각 받은 상태다. 알라딘의 경우 KISA 인증서 발급현황에서 2023년 11월을 유효기간으로 하는 인증만 확인돼 아직 재취득하지 않은 상태로 파악된다. ISMS는 기업이나 조직이 정보 자산을 안전하게 보호하기 위해 수립, 관리, 운영하는 종합적인 ISMS 체계에 개인정보보호 요구사항까지 통합한 인증 제도다.
#협의체 제안 무산…공조 실패가 키운 사이버 리스크
4개사 모두 정보보호 투자를 확대하고 있다고 강조했다. 이 중 교보문고와 예스24에서만 연간 정보보호 투자 비중이나 실제 규모가 수치로 확인됐다. 교보문고에 따르면 전체 정보기술(IT) 투자액 중 정보보호 투자액이 차지하는 비율은 올해 6.7%로 전년도(5.0%)보다 1.7%(p) 증가했다. 예스24의 정보보호 공시에 따르면 지난해 정보보호 부문 투자액은 약 12억 6900만 원으로 전체 IT 투자액의 9.2%였다. 3개년 정보보호 투자액 추이는 △2022년 11억 300만 원(IT 투자액 대비 9.2%) △2023년 9억 4700만 원(5.1%)으로 나타났다.
알라딘 관계자는 “구체적인 투자액이나 비중을 밝히기는 어렵지만, 최근 3년 동안 보안 투자에 사활을 걸고 많은 예산을 투입하고 있다”고 말했다. 리디 관계자도 “정보보안의 중요성 및 책임감이 커짐에 따라 정보보호 투자 규모를 지속적으로 확대하고 있다. 올 하반기 보안 시스템 강화를 위한 예산도 책정된 상황”이라고 전했다.
“정보 보호 예산인지, 일반적인 IT 인프라 비용인지 명확하게 구분되지 않아 관련 수치를 공개하기 곤란하다”는 업계 관계자의 의견도 있었는데, 정보보호 공시 의무 기업에는 해당 정보의 공개가 법적으로 요구된다는 점에서 출판·서점 업계 내 정보보안 대응 체계의 성숙도가 기업별 편차가 크고 아직 표준화되지 않았다는 점이 드러난다.
각 사는 다양한 보안 활동을 전개하며 기술적 조치와 내부 인식 제고를 꾀하고 있다. 전자책 유출 사태를 겪었던 알라딘의 경우 실무적 대비에 집중하고 있다는 설명이다. 예스24 해킹 사태 직후 자체 시뮬레이션을 진행했다는 응답이 눈에 띈다.
교보문고도 정기 IT시스템 점검과 함께, 매년 정보보안 체계 종합 진단을 통해 현황을 점검하고 미비점을 조치하고 있다고 밝혔다. 임직원 대상 모의훈련 및 의심 메일 대응 훈련을 실시하는 등 조직 단위의 인식 제고와 실천을 병행한다. 리디도 정기적인 취약점 점검과 모의해킹을 실시한다. 고객 데이터 마스킹 및 단방향 해시 암호화, 이상 접근 탐지 및 내부 모니터링 강화 등 다양한 기술 기반 보안 체계를 운용 중이다.
예스24는 그동안 임직원 보안인식제고 모의훈련, 비정기 보안점검 및 감사 등을 진행해왔다. 예스24 관계자는 “현재 유관 기관 조사가 이뤄지고 있는 상황이다. 보안 체계를 원점에서 재점검하고 이전보다 체계적이고 강화된 계획으로 신뢰할 수 있는 정보보호 환경을 구축해 나가겠다”고 밝혔다.
대한출판협회 관계자는 “알라딘 사태 이후 유통사, 출판사 등이 함께 참여하는 보안협의체 구성 등의 사후 대책이 거론됐지만 현실화되지 못했다. 플랫폼의 해킹 사태가 이용자 피해와 전체 산업 생태계의 위축으로 연결되는 만큼 보안 취약성을 점검과 관련 역량 강화에 주력할 필요가 있다”고 설명했다. 대한출판협회는 알라딘 사태 당시 4개사에 대해 보안 점검에 나선 바 있다. 알라딘의 경우 모의해킹과 두 차례의 인터뷰를 진행했고 교보문고와 리디는 한 차례 인터뷰에 응했으나 예스24는 인터뷰를 거부한 바 있다.
업계 정보보안 자문에 관여한 관계자는 “일부 기업은 서버 사양 등 기초 인프라부터 개선이 필요한 수준”이라며 “보안 조치와 그 과정을 내부 판단에만 의존할 게 아니라 신뢰할 수 있는 외부 검증 등으로 투명성이 확보돼야 할 것으로 보인다”고 지적했다.
강은경
기자
gong@bizhankook.com
[핫클릭]
·
SKT 해킹 피해 구제 '3각 트랙' 가동 "대규모 보상 제대로 이뤄질까"
·
[단독] 8개 ICT기업 공시 분석…통신3사·네카오 '정보보호'에 매출 1%도 안 써
·
대형 금융사들 SKT 해킹 대응방안 제각각…정보 취약계층 소홀 아쉬움도
·
[단독] "전자책 유출 보상서 저작권자 배제" 작가들, 알라딘에 공식 항의
·
'알라딘 분쟁' 진짜는 이제부터? 전자책 유출 피해 큰 출판사들 강수 예고
<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>
![[단독] 이수만 회사, AI 팬 플랫폼 '블루밍톡' 출시 코앞](/images/common/list01_guide02.png)
![[단독] AI 광고, 셀러 모르게 수백 만 원 과금…G마켓](/images/common/side01.png)
