주메뉴바로가기본문바로가기
비즈한국비즈한국

긴급점검
잇단 해킹 피해, 온라인서점 4사 보안 실태 현 주소

'소 잃고 외양간 고치기' 식 구조적 취약성 그대로…"기초부터 손봐야, 검증 시 투명성 요구"

[비즈한국] 예스24053280의 마비 사태 등 국내 주요 서점과 전자책 플랫폼에서 해킹 피해가 잇따르면서 업계 보안 역량에 대한 우려가 커지고 있다. 2023년 알라딘의 전자책 유출 사태 당시에도 보안 체계의 취약성과 개선 필요성이 지적됐다.

오프라인 중심이던 과거와 달리 전자책 유통과 온라인 판매 비중이 확대되면서 업계의 디지털 의존도는 크게 높아졌다. 동시에 고도화되는 사이버 위협과 복잡해진 클라우드·서버 환경, 내부 시스템의 보안 사각지대 등이 맞물리며 정보보안은 기술 운영의 기반이자 기업 경영의 핵심 리스크로 부상하고 있다. 서점업계 정보보안 체계의 현주소를 점검해본다.

국내 최대 온라인 서점 예스24가 랜섬웨어 공격으로 ‘먹통 사태’를 겪으면서 관련 업계의 보안 역량이 도마 위에 올랐다. 사진은 16일 오전 서울 영등포구 예스24 본사. 사진=박정훈 기자
국내 최대 온라인 서점 예스24가 랜섬웨어 공격으로 ‘먹통 사태’를 겪으면서 관련 업계의 보안 역량이 도마 위에 올랐다. 사진은 16일 오전 서울 영등포구 예스24 본사. 사진=박정훈 기자

최근 예스24는 랜섬웨어 해킹으로 인해 닷새간 접속이 마비되는 사태를 겪었다. 홈페이지·앱 접속, 전자책(e북) 다운로드와 티켓 예매 등 온라인 서비스가 중단되고 오프라인 매장의 도서 검색, 일부 상품 결제까지 차질을 빚으면서 기술 인프라와 보안 대응 역량이 도마 위에 올랐다. 이번 사태는 회사가 전 회원 대상 5000원 상품권 지급 등을 포함하는 1·2차 보상안을 발표하며 수습 국면에 들어섰지만, 알라딘의 전자책 대규모 유출 사태 이후 2년 만에 업계에 발생한 대형 보안 사고라는 점에서 관련 산업 내 보안 체계에 근본적인 질문을 던졌다.

비즈한국은 매출, 기업 규모와 점유율 등을 기준으로 국내 주요 서점·전자책 플랫폼 기업 4개사에 정보보호 실태와 관련해 질의했다. 교보문고, 예스24, 알라딘, 리디 등 대상 기업 모두 정보 보호 관련 투자 규모를 확대해 보안 역량을 강화하고 있다고 밝힌 가운데 정보보호 조직 구성이나 CISO(최고정보보안책임자) 운영 방식 등에서는 각기 다른 양상을 보였다.

정보보호 전담 조직, 교보문고·예스24만 운영

교보문고, 예스24, 알라딘, 리디 등 4개사 중 정보보호 조직을 별도 부서로 두고 있는 곳은 교보문고와 예스24 두 곳이었다. 교보문고는 2015년 정보보안파트 조직을 구성한 후 정보보안실로 확대 개편해 운영 중이다. 예스24의 경우 시스템 운영 업무와 분리한 정보보호 전담 부서를 갖추고 있다고 밝혔지만 정확한 조직 구성은 확인되지 않았다. 반면 알라딘과 리디는 정보보안 부서를 따로 운영하고 있지는 않은 것으로 파악됐다.

정보 보안 역량을 가늠하는 주요 지표는 전담 인력 운영 현황과 투자 규모, CISO 지정·운영 여부, 정보보호 관련 인증 등이다. 이는 정보 보안 관리·운영 역량을 객관적으로 보여주는 필수 지표로서 법률상 정보보호 공시 의무 대상 기업에 요구되는 항목이기도 하다.

기업의 정보보호 업무를 총괄하는 CISO는 4개사 모두 지정하고 있지만 겸직 여부가 갈렸다. 리디의 경우 최고기술경영자(CTO) 직속으로 CISO를 두고 보안업무를 수행하고 있다. 외형상 별도 조직은 없는 것으로 파악되나, 타 업무와 겸직하지 않는 보안 전담자를 중심으로 내부 보안 정책 수립과 실행 등 정보 보호 체계를 운영하고 있다는 설명이다. 리디 측은 “전문 인력을 배치해 관련 업무를 전담하고 있으며, 필요 시 외부 전문기관과의 협업도 병행하고 있다”고 밝혔다.

정보 보안 조직과 CISO 운영 현황 등을 종합적으로 고려하면 보안·인력 측면에서 교보문고가 가장 체계적인 구조를 갖추고 있는 것으로 나타났다. 교보문고의 CISO는 정보보안실 실장이 맡고 있어 비교적 보안 정책의 독립성과 전문성이 안정적으로 확보되는 체계다.

한국인터넷진흥원(KISA) 정보보호 공시 포털에 따르면 예스24의 CISO는 CPO(최고개인정보보호책임자)를 겸직한다. 예스24는 매출액 요건에 부합하는 상장사로서 4개사 중 유일하게 정보보호 공시 의무가 있다. CISO와 CPO는 유사 업무로 인식돼 대기업에서도 통합 운영되는 사례가 빈번하지만, 책임 소재가 불명확해지는 부작용 등 효율성에 치중한 전략이라는 비판도 제기된다.

CISO 겸직 여부는 기업의 보안 역량을 보여주는 실질적인 지표 중 하나다. 타 직무와 겸직할 경우 통상적으로 정보보호 업무에 충분한 자원을 투입하지 못해 보안 정책 수립과 위험 대응, 통제에 한계가 생길 수 있다고 판단된다. 일정 규모(자산총액 5조 원 등) 이상 정보통신기업에서 사내 CISO 겸직이 금지되는 이유다. 다만 예스24는 겸직 금지 대상에는 해당하지 않는다.

알라딘은 웹 인프라를 담당하는 개발팀 한 곳과 감사 조직이 분담하는 형태로 보안업무를 수행 중이라고 밝혔다. 개발팀이 기술적인 실무를 맡고 감사 조직에서 보안 정책·규정 및 내부 통제와 관련한 업무를 수행하는 형태다. CISO는 사내이사가 겸직하고 있다.

4개사 중 교보문고, 리디는 정보보호 관리체계(ISMS-P) 인증을, 예스24는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 각각 받은 상태다. 알라딘의 경우 KISA 인증서 발급현황에서 2023년 11월을 유효기간으로 하는 인증만 확인돼 아직 재취득하지 않은 상태로 파악된다. ISMS는 기업이나 조직이 정보 자산을 안전하게 보호하기 위해 수립, 관리, 운영하는 종합적인 ISMS 체계에 개인정보보호 요구사항까지 통합한 인증 제도다.

협의체 제안 무산…공조 실패가 키운 사이버 리스크

4개사 모두 정보보호 투자를 확대하고 있다고 강조했다. 이 중 교보문고와 예스24에서만 연간 정보보호 투자 비중이나 실제 규모가 수치로 확인됐다. 교보문고에 따르면 전체 정보기술(IT) 투자액 중 정보보호 투자액이 차지하는 비율은 올해 6.7%로 전년도(5.0%)보다 1.7%(p) 증가했다. 예스24의 정보보호 공시에 따르면 지난해 정보보호 부문 투자액은 약 12억 6900만 원으로 전체 IT 투자액의 9.2%였다. 3개년 정보보호 투자액 추이는 △2022년 11억 300만 원(IT 투자액 대비 9.2%) △2023년 9억 4700만 원(5.1%)으로 나타났다.

알라딘 관계자는 “구체적인 투자액이나 비중을 밝히기는 어렵지만, 최근 3년 동안 보안 투자에 사활을 걸고 많은 예산을 투입하고 있다”고 말했다. 리디 관계자도 “정보보안의 중요성 및 책임감이 커짐에 따라 정보보호 투자 규모를 지속적으로 확대하고 있다. 올 하반기 보안 시스템 강화를 위한 예산도 책정된 상황”이라고 전했다.

“정보 보호 예산인지, 일반적인 IT 인프라 비용인지 명확하게 구분되지 않아 관련 수치를 공개하기 곤란하다”는 업계 관계자의 의견도 있었는데, 정보보호 공시 의무 기업에는 해당 정보의 공개가 법적으로 요구된다는 점에서 출판·서점 업계 내 정보보안 대응 체계의 성숙도가 기업별 편차가 크고 아직 표준화되지 않았다는 점이 드러난다.

서점업계는 기술적 조치와 내부 인식 제고 등 다양한 보안 활동을 전개하고 있다. 사진=픽사베이
서점업계는 기술적 조치와 내부 인식 제고 등 다양한 보안 활동을 전개하고 있다. 사진=픽사베이
긴급점검
강은경 기자
gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지
✏️ 형광펜 추가
✕ 형광펜 제거