예스24 해킹 두 번의 충격, 출판 생태계를 뒤흔들다
2025년, 국내 최대 온라인 서점 예스24가 두 차례나 해킹 공격으로 서비스를 마비당하는 초유의 사태를 겪었다. 2천만 회원을 보유한 예스24는 6월과 8월에 발생한 연이은 랜섬웨어 공격으로 웹사이트와 앱, 전자책 플랫폼, 공연 예매 시스템 등 핵심 서비스가 잇따라 먹통이 됐다.
그리고 두달뒤 8월 11일 예스24는 "금일 새벽 4시 30분경 외부 랜섬웨어 공격을 받아 서비스 접속이 불가능한 상황이 발생했다"며 또 다시 해킹을 당했다고 밝혔다.
벌써 두번째 공격에 yes24이는 어떤 대응도 못하고 있다.
첫 번째 해킹: 6월 랜섬웨어로 서비스 마비
2025년 6월 9일 새벽 4시경, 예스24 시스템에 랜섬웨어 공격이 감행됐다. 이 공격으로 예스24의 웹사이트, 모바일 앱, 전자책 뷰어, 공연 티켓 예매 등 모든 온라인 서비스가 순식간에 중단됐다. 회사 측은 즉각 서버 점검과 복구 작업에 나섰으나, 서비스 정상화까지 무려 5일이 소요됐다. 복구 지연 동안 책 주문은 물론 전자책 열람과 공연 관람까지 불가능해지면서 이용자들의 불편과 불만이 폭주했다. 한 예스24 회원은 “돈 주고 산 전자책이 한순간에 사라질 수 있다는 불안에 휩싸였다”고 토로하기도 했다.
예스24 해킹 사태는 국내 온라인 서점 시장의 보안 취약성을 적나라하게 드러냈다. 한국인터넷진흥원(KISA, 2024) 자료에 따르면, 2023년 국내 랜섬웨어 피해 신고 건수는 258건으로 전년 대비 34% 증가했다. 이 가운데 유통·서비스 업종의 피해가 전체의 28%를 차지해 가장 높았다. 예스24는 2천만 명의 회원 정보와 결제 데이터를 보유한 대형 플랫폼임에도, 첫 번째 공격 이후 재발 방지 조치가 미흡했다는 비판을 받았다.
출판 생태계 전반에 미치는 충격도 컸다. 대한출판문화협회(2025) 긴급 설문 결과, 출판사 438곳 중 72%가 "예스24 서비스 중단으로 월매출의 30% 이상이 감소했다"고 답했다. 특히 중소 출판사는 예스24 매출 의존도가 평균 45%에 달해 타격이 더 컸다. 신간 출시 일정을 미룬 출판사도 68곳에 이르렀다. 전자책과 오디오북 플랫폼도 동시에 마비되면서, 디지털 콘텐츠 수익 기반이 한꺼번에 흔들렸다.
개인정보 유출 우려도 해소되지 않았다. 예스24는 첫 번째 공격 직후 "고객 개인정보 유출은 확인되지 않았다"고 밝혔으나, 보안 전문가들은 랜섬웨어 공격의 특성상 데이터 탈취가 동반될 가능성이 높다고 지적했다. 개인정보보호위원회는 조사에 착수했으며, 유출 범위에 따라 과징금이 수백억 원에 이를 수 있다. 2023년 LG유플러스 개인정보 유출 사건에서 과징금 68억 원이 부과된 전례를 고려하면, 예스24의 재정 부담은 해킹 피해액(약 100억 원)을 크게 넘어설 수 있다.
두 번째 공격은 첫 번째 공격의 교훈이 무색했음을 보여 줬다. 랜섬웨어 대응 전문 기업 관계자는 "같은 조직이 두 달 만에 같은 대상을 재공격한다는 것은, 첫 공격 때 확보한 취약점 정보가 여전히 유효하다는 의미"라고 설명했다. 과학기술정보통신부는 예스24에 보안 체계 전면 재점검을 명령했으며, 정보보호 투자 비율 공개도 요구한 상태다.
국내 최대 온라인 서점 예스24가 2025년 6월과 8월 두 차례 랜섬웨어 공격으로 서비스가 마비되는 사태를 겪었다
법·규제 변화는 해당 분야 종사자와 이용자의 권리를 재설정한다.
관련 법안의 처리와 판례 축적이 이 쟁점의 방향을 결정할 전망이다. 후속 데이터가 추가 판단의 근거가 된다.
출판 생태계가 특정 온라인 플랫폼에 과도하게 의존하면서 한 업체의 해킹이 산업 전체를 마비시킬 수 있음을 보여줬다.
두 달 만에 재공격이 성공한 것은 국내 주요 플랫폼의 보안 체계가 근본적으로 취약함을 드러내며, 개인정보 보호에 대한 우려를 증폭시켰다.
전자책과 오디오북 등 디지털 콘텐츠가 순식간에 접근 불가능해지면서, 디지털 저작물 소유권과 접근 보장에 대한 새로운 논의가 필요하다.