예스24 해킹 두 번의 충격, 출판 생태계를 뒤흔들다
2025년, 국내 최대 온라인 서점 예스24가 두 차례나 해킹 공격으로 서비스를 마비당하는 초유의 사태를 겪었다. 2천만 회원을 보유한 예스24는 6월과 8월에 발생한 연이은 랜섬웨어 공격으로 웹사이트와 앱, 전자책 플랫폼, 공연 예매 시스템 등 핵심 서비스가 잇따라 먹통이 되었다.
그리고 두달뒤 8월 11일 예스24는 "금일 새벽 4시 30분경 외부 랜섬웨어 공격을 받아 서비스 접속이 불가능한 상황이 발생했다"며 또 다시 해킹을 당했다고 밝혔다.
벌써 두번째 공격에 yes24이는 어떤 대응도 못하고 있다.
첫 번째 해킹: 6월 랜섬웨어로 서비스 마비
2025년 6월 9일 새벽 4시경, 예스24 시스템에 랜섬웨어 공격이 감행되었다. 이 공격으로 예스24의 웹사이트, 모바일 앱, 전자책 뷰어, 공연 티켓 예매 등 모든 온라인 서비스가 순식간에 중단되었다. 회사 측은 즉각 서버 점검과 복구 작업에 나섰으나, 서비스 정상화까지 무려 5일이 소요되었다. 복구 지연 동안 책 주문은 물론 전자책 열람과 공연 관람까지 불가능해지면서 이용자들의 불편과 불만이 폭주했다. 한 예스24 회원은 “돈 주고 산 전자책이 한순간에 사라질 수 있다는 불안에 휩싸였다”고 토로하기도 했다.
피해 규모도 막대했다. 예스24는 서비스 전면 중단으로 하루 평균 약 20억 원의 매출 손실을 입어, 단숨에 총 100억 원에 달하는 피해액이 추산되었다. 랜섬웨어에 감염된 해커들은 데이터를 암호화한 뒤 거액의 금전을 요구했고, 예스24는 해킹 사흘 만에 “백업을 완료하여 복구 중”이라고 발표했으나 이는 사실이 아니었다. 실제로는 해커에게 수십억 원 상당의 비트코인을 지급하고 나서야 서버 암호를 해제하는 상황에 이르렀다고 전해진다. 회원 2천만 명의 개인정보에 대한 우려도 컸는데, 예스24는 초기에는 “개인정보 유출은 없다”고 주장했으나 이후 정부 조사에서 내부 시스템에서 비정상적인 회원 정보 조회 로그가 다수 발견되며 개인정보 유출 가능성이 제기되었다. 개인정보보호위원회와 한국인터넷진흥원(KISA)은 예스24의 개인정보 유출 여부 및 보안 조치 이행 상황에 대한 정밀 조사에 착수했고, 예스24는 “만약 유출 사실이 확인되면 개별 통지하겠다”는 입장을 내놓았다.
예스24의 초기 대응은 미숙하단 비판을 자초했다. 해킹 사실을 인지하고도 이용자들에게 즉각 알리지 않고 한동안 함구한 것이다. 오히려 “해커가 상황을 지켜볼 수 있어 대응 정보를 공개하지 않았다”는 해명을 내놓았지만, 정작 KISA는 “예스24가 현장 조사를 거부하거나 소극적으로 협조했다”고 반박하면서 논란이 일었다. 해킹 발생 직후 예스24는 KISA 등 관계 당국과 공조하고 있다고 밝혔으나, KISA 측은 기술지원 요청을 받기는커녕 협조가 이뤄지지 않았다고 공식 발표해 예스24가 초기에 허위 사실로 대응을 미봉했다는 지적이 제기되었다. 이러한 늑장 대응과 불투명한 소통으로 소비자 신뢰는 급속히 추락했다.
두 번째 해킹: 두 달 만의 재발과 불안 확산
충격적인 첫 번째 사고가 있은 지 불과 두 달 만인 8월 11일, 예스24 시스템이 다시 랜섬웨어 공격을 받아 또 한 번 먹통 사태를 빚었다. 이날 새벽 4시 30분경 시작된 공격으로 예스24의 홈페이지와 전자책 서비스 등이 다운되었고, 오전 내내 “시스템 에러가 발생했다”는 오류 메시지만 떴다. 예스24는 곧바로 “외부로부터 랜섬웨어 공격을 받았다”는 사실을 공개하며 백업 데이터를 활용한 복구 작업을 진행했다고 밝혔다. 다행히 약 7시간 만인 오전 11시 30분경 대부분 서비스가 정상화되면서 6월만큼 장기화되진 않았다. 그러나 두 달 새 동일 유형의 해킹이 재발했다는 사실 자체만으로 이용자들과 업계는 큰 충격을 받았다. 6월 사태 직후 김석환·최세라 공동대표는 “보안 체계를 원점에서 재점검하고 외부 보안 자문단을 도입해 플랫폼 신뢰도와 복원력을 강화하겠다”고 약속했지만, 불과 몇 주 만에 이런 사태가 반복되자 그 약속의 실효성에 의문이 제기되었다. 전문가들조차 “예스24의 보안 체계에 근본적인 취약점이 존재한다”면서, 첫 해킹 이후 적극적인 사후 대처와 보안 강화 조치가 미흡했다고 지적했다. 지원이 종료된 오래된 운영체제(OS)를 계속 사용하거나 이전 공격 때 심어진 악성코드를 완전히 제거하지 못한 점 등이 원인으로 거론되며, 근본적 보안 허점을 방치한 대가를 톡톡히 치렀다는 평가다. 연이은 해킹 소식에 일각에서는 예스24를 두고 ‘해킹 맛집’이라는 자조적 별칭까지 나돌았고, 소비자들 사이에서는 “이래서야 전자책을 안심하고 사겠느냐”는 탄식이 흘러나왔다.
출판사 피해 외면한 대응: “출판사 피해는 안중에도 없겠다”
첫 번째 해킹 이후 예스24는 피해 복구와 고객 달래기에 급급한 나머지 정작 출판사들에 대한 배려는 부족했던 것으로 드러났다. 서비스 중단 동안 예스24에 책 공급과 판촉을 의존하던 수많은 출판사들은 광고 집행을 취소하거나 신간 출시에 맞춘 마케팅 일정을 전면 수정해야 하는 등 직격탄을 맞았다. 그럼에도 예스24는 출판사를 위한 별도의 피해 보상이나 지원 대책을 전혀 공지하지 않았다. 해킹 사태 직후 출판사들에 발송한 공식 공문에도 “정산은 금일 내 정상 진행 예정”이라는 안내만 담겼을 뿐, 피해 내용이나 조치 일정, 책임 주체, 보상 언급은 찾아볼 수 없었다. 사실상 “정산은 해줄 테니 딴소리 말라”는 식의 통지만 보낸 셈이다. 한 출판사 관계자는 “예스24는 출판사 광고 예산이 대거 투입되는 플랫폼인데, 이번 사태 동안 제대로 된 설명조차 듣지 못했다”며 “솔직히 을(乙)의 입장에서 따지기도 어렵다”고 토로했다. 그만큼 온라인 서점이라는 ‘갑’(甲) 플랫폼 앞에서 개별 출판사가 목소리를 내기 어려운 현실이 드러난 대목이다.
이러한 상황에 출판계의 불만과 우려도 높아지고 있다. 한국만화웹툰평론가협회 회장이자 한국만화웹툰학회 이사인 박세현은 8월 두 번째 해킹 발생 후 예스24의 태도를 비판하며 “출판사 피해는 안중에도 없겠다”고 일갈했다. 실제로 6월 사태 당시 예스24의 보상안은 소비자 대상 조치에 그쳤고 출판사에 대한 직접적 보상이나 사과는 빠져 있었다. 예스24는 해킹 일주일 만에 공식 사과문을 내면서 공연 티켓 예매자에 대한 120% 환불과 예치금, 배송 지연 포인트 지급, 전자책 대여기간 연장 등 여러 소비자 보상책을 발표했지만, 출판사들에 대해서는 아무런 언급이 없었다. 일부 출판사들이 개별적으로 항의했으나, 거대 유통 플랫폼을 상대로 한 개별 보상 요구는 받아들여지지 않는 분위기였다. 이는 2023년 경쟁사 알라딘 해킹 당시에도 비슷했다. 당시 피해를 입은 50여 개 출판사들이 모여 알라딘에 전자책 신간 공급 중단과 종이책 납품 거부라는 초강수를 두며 개별 보상을 요구했고, 결국 알라딘이 위로금 지급 등에 합의하는 선에서 사태를 마무리한 바 있다. 업계에서는 “디지털 시대에 도서 플랫폼이 유통뿐 아니라 콘텐츠 보관까지 책임지는 구조인 만큼, 플랫폼이 사고 시 일정 수준의 책임과 대응 기준을 갖춰야 한다”는 목소리가 커지고 있다.
또한 대한출판문화협회는 2023년 알라딘 전자책 유출 사태 직후 보안 전문 인력을 포함한 조사단을 꾸려 주요 온라인서점 대상의 모의해킹·보안 실태 점검을 추진했고, 2024년 1월에는 예스24에도 대면 점검 참여를 요청했다. 그러나 교보문고·리디북스 등이 조사에 응한 반면, 예스24는 대면 인터뷰와 모의해킹 참여를 거부하고 자체 점검표만 서면 제출한 것으로 확인됐다. 협회 측은 “취약점 확인을 위한 대면 조사 요청에 예스24가 응하지 않았다”고 밝혔다.
이 같은 외부 점검 회피는 2025년 6월 첫 해킹 당시에도 반복됐다. 한국인터넷진흥원(KISA)은 사고 파악을 위해 6월 10~11일 두 차례 본사 현장 방문을 했으나 예스24가 기술지원·현장조사에 협조하지 않았다고 공개 반박했다. 과기정통부 역시 “지원 거부와 현장조사 불수용은 납득하기 어렵다”고 지적했다.
협회의 사전 점검 요구 무응답과 당국 조사 비협조가 겹치며, “예스24가 파트너사인 출판사의 피해에는 관심조차 두지 않는 것 아니냐”는 출판계의 비판이 한층 거세졌다. 이는 2차 사고 직후 박세현 한국만화웹툰평론가협회 회장(한국만화웹툰학회 이사)이 밝힌 “출판사 피해는 안중에도 없겠다”는 지적과도 맞물린다.
예스24 측은 뒤늦게 “현재 출판사들을 대상으로 개별 연락을 통해 보상안 안내를 진행 중”이라고 밝혔지만, 구체적인 내용은 아직 불투명하다. 출판사들은 이번 사태를 계기로 플랫폼과 출판사 간 공정한 피해 대응 원칙이 마련되어야 한다고 입을 모은다. 박세현 회장은 “이번 사태는 예스24가 과연 출판 콘텐츠 공급 파트너들을 어떻게 여기는지 여실히 보여줬다”고 지적하며, 재발 방지와 함께 출판사들에 대한 책임 있는 조치를 촉구했다.
데이터 유출 공포와 출판 생태계의 과제
예스24 해킹 사태는 국내 출판 생태계 전반에 걸쳐 적지 않은 파장을 남겼다. 우선 소비자들의 전자책 기피 현상, 이른바 ‘전자책 포비아’가 확산될 조짐이다. 일주일 가까이 전자책을 열람조차 못하게 된 경험은 독자들로 하여금 “돈 주고 구입한 내 책이 실제로는 내 것이 아닐 수 있다”는 불안감을 심어주었다. 전자책은 특성상 플랫폼 서버에 접속해야만 이용할 수 있는데, 이번처럼 플랫폼이 마비되면 구매한 콘텐츠조차 볼 수 없게 된다. 한 대학생 독자는 “해킹 사태 속 미온적 대처를 보며 전자책 서비스에 신뢰를 보내기 힘들어졌다”고 비판했고, 온라인 상에는 “이제 전자책 안 산다”는 극단적인 반응까지 나왔다. 전자책 시장은 국내 출판 매출의 약 26%를 차지할 정도로 성장해왔는데, 이번 사태로 이용자 이탈이 현실화되면 출판업계 전체 매출에도 타격이 불가피하다. 실제로 2023년 알라딘 해킹 때에도 약 72만 원 상당의 전자책이 유출되는 사고 이후 한동안 전자책 거래가 위축된 바 있다.
이번 일을 계기로 산업 전반의 위험관리 필요성도 크게 부각되었다. 출판 유통 구조가 극소수 온라인 서점에 지나치게 의존한 나머지, 단 한 곳에 문제가 생겼을 때 전국 출판유통망이 일시에 마비되는 리스크가 드러난 것이다. 군소 출판사일수록 예스24와 같은 대형 플랫폼에 책 유통과 마케팅을 거의 전적으로 기대고 있어 이러한 “싱글 포인트 실패”에 더욱 취약하다. 업계에서는 플랫폼 다변화와 백업 유통망 확보 등 자구책을 모색해야 한다는 목소리와 함께, 정부 차원의 지원과 제도적 보완도 요구되고 있다. 한 출판 관계자는 “과거 온라인 서점이 없던 시절로 돌아갈 수는 없겠지만, 최소한의 비상 대응망은 필요하다”고 강조했다. 예를 들어, 플랫폼 장애 시 출판사 직배송이나 다른 채널로 판매를 전환하는 시스템 구축, 전자책의 경우 일정 기간 이용 불능 시 다운로드용 파일 제공 등의 방안을 고려해볼 수 있다.
또한 해킹 대응에 대한 제도 개선 요구도 커지고 있다. 해외 사례를 보면, 독일은 2022년 개정된 민법에서 온라인 콘텐츠 사업자에게 전자책 유지·보증·무상 업데이트 의무를 부과하고 있고 영국도 2015년 소비자보호법에 전자책 관련 규정을 명시해두고 있다. 프랑스 역시 전자책 구매 후 2년 내 문제가 발생하면 사업자가 책임지도록 하는 등 법적 장치를 마련했다. 우리나라에서도 온라인 서점의 서비스 장애나 해킹으로 인한 피해를 최소화하기 위한 법·제도적 보증 장치가 필요하다는 지적이 제기된다. 예스24 사태 이후 정부 당국의 대응 역량과 협조 체계 역시 도마에 올랐다. 현재 랜섬웨어 피해 기업에 대한 기술 지원은 KISA 등이 담당하고 있지만, 예스24 사례처럼 민간 기업이 적절히 협조하지 않을 경우 강제할 방법이 부족하다. 전문가들은 “대형 플랫폼의 반복적인 해킹은 대규모 개인정보 유출로 이어질 수 있는 만큼, 정부와 기업 간 공조 강화와 사이버 보안 역량 제고가 시급하다”는 의견을 내놓고 있다. 업계 일각에서는 정부가 일정 규모 이상의 플랫폼 사업자에 대해 강화된 보안 의무와 정기 감사를 법제화하는 방안도 거론한다.
예스24 해킹 이중 사고는 디지털 시대 출판 산업의 빛과 그늘을 동시에 보여주었다. 온라인 플랫폼을 통한 편리한 유통과 서비스 확장은 출판시장에 새로운 활력을 불어넣었지만, 그 취약한 뒷면에는 보안 위협과 독과점적 구조의 위험이 도사리고 있었다. 이번 사태를 계기로 예스24를 비롯한 플랫폼 기업들은 보안 투자와 예방 조치를 대폭 강화하고, 사고 발생 시 투명한 공개와 신속한 대응 체계를 갖춰야 할 것이다. 특히 출판사와의 파트너십 회복이 중요하다. 더 이상 출판사의 피해를 외면한 채 “고객만 바라보는” 일방적 대응으로는 산업 생태계 전체의 신뢰를 지킬 수 없다. 출판계 역시 이번 교훈을 바탕으로 플랫폼 의존도를 점검하고 상생할 수 있는 유통 환경을 고민해야 한다. 한편 독자들에게는 이번 사태가 종이책과 전자책 공존의 가치를 재조명하는 계기가 되었다는 시각도 있다.