개인정보보호위원회가 해킹으로 나흘째 접속 장애를 겪고 있는 인터넷서점 예스24에 대한 개인정보 유출 조사에 착수했다.
11일 개인정보위는 “예스24는 이날 오전 유출신고를 통해 지난 9일 시행된 랜섬웨어 공격을 당일 인지했고, 조치 과정에서 비정상적인 회원정보 조회 정황을 확인했다고 밝혔다”며 정보유출 조사 착수 사실을 알렸다.
앞서 예스24는 전날 공지사항을 통해 “일체의 유출 및 유실이 없는 점을 확인했으며, 주문 정보를 포함한 모든 데이터 역시 정상 보유 중에 있다”고 밝힌 바 있다. 지난 9일 오전 4시쯤 접속 오류가 처음 발생한지 36시간 만에 랜섬웨어 공격 사실을 알렸지만, 피해 사실은 제대로 확인하지 못한 셈이다.
개인정보위는 구체적인 유출경위와 피해규모, 안전조치 의무 준수 여부 등을 확인해 ‘개인정보 보호법’ 위반 사항이 있는 경우, 관련 법령에 따라 처분할 예정이다.
개인정보위 관계자는 “최근 랜섬웨어를 이용한 개인정보 유출사고가 늘고 있다”며 “각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다”고 강조했다.
경찰도 수사에 착수했다. 인천경찰청 사이버범죄수사대는 사안의 심각성을 고려해 직접 내사에 나섰다고 밝혔다.
예스25의 모든 서비스는 현재 중단된 상태다. 회사 측은 공지글을 통해 “장애로 인해 각종 불편함을 겪으신 전회원에 대해 구체적 보상안을 마련 중에 있다”며 “빠른 서비스 복구와 함께 전체 공지 및 개별 안내 드릴 수 있도록 하겠다”고 했다.
