2025년 6월 9일 오전 4시, 예스24의 서버가 멈췄다. 도서 주문, 전자책, K팝 공연 예매 — 2,000만 회원이 사용하는 모든 서비스가 동시에 마비됐다. 그런데 예스24는 "시스템 점검 중"이라고 공지했다. 랜섬웨어 공격 사실이 외부에 알려진 건 이틀 뒤, 국회의원실을 통해서였다.
공격은 월요일 새벽에 시작됐다. 업무망, 서비스망, 그리고 백업망까지 동시에 암호화됐다. 복구할 백업이 없었다.
예스24는 사고 당일 KISA(한국인터넷진흥원)에 신고했지만, KISA가 현장에 도착했을 때 기술 지원 협조를 거부했다. KISA는 두 차례 방문했지만 감염 범위 공유나 기술 접근을 허락받지 못했다. 예스24가 공식 기술 지원을 요청한 건 사고 발생 3일 뒤인 6월 12일이었다.
마비된 시스템 목록:
다이어그램
복구에 10일이 걸렸다. 그 사이 박보검, Enhypen, Ateez, Day6 팬미팅과 뮤지컬 예매가 취소되거나 연기됐다. 공연장에 도착했지만 티켓 확인이 불가능해 입장을 거부당한 관객도 있었다.
CEO 공식 사과는 사고 발생 8일 뒤인 6월 17일에야 나왔다.
2025년 상반기 예스24의 재무공시에서 이례적인 숫자가 나타났다. '잡손실' 항목에 48억 원 — 전년 동기 230만 원에서 2,087배 증가한 금액이다.
보안업계에 따르면 이 금액의 대부분은 비트코인으로 지불한 몸값으로 추정된다. 예스24는 KISA 수사를 이유로 공식 확인을 거부했다.
| 항목 | 수치 |
|---|---|
| 상반기 매출 감소 | 174억 원 (1,533억 → 1,359억) |
| 영업손실 | 34억 원 |
| 순손실 | 56억 원 |
| 잡손실(몸값 추정) | 48억 원 |
총 피해 규모는 약 100억 원으로 추산된다.
공격자가 어떤 경로로 침투했는지는 아직 수사 중이다. 하지만 보안 전문가들은 근본 원인 두 가지를 지적했다.
첫째, 지원 종료 OS. 예스24는 Windows Server 2012를 운영 환경에서 사용하고 있었다. 이 OS는 2023년 10월 지원이 종료되어 보안 패치가 더 이상 제공되지 않는다.
둘째, 백업망 미분리. 운영 네트워크와 백업 네트워크가 분리되지 않아, 공격자가 백업 데이터까지 함께 암호화할 수 있었다. 복구할 깨끗한 백업이 없었던 것이다.
8월 11일 오전 4시 30분, 예스24가 다시 공격당했다. 이번에는 1차 공격 이후 구축한 오프라인 백업 덕분에 7시간만에 복구했다.
하지만 핵심 질문이 남는다. 48억 원을 지불하고도 왜 다시 당했는가?
경희대 염흥열 교수는 1차 복구 과정에서 백업 데이터 내 잔존 악성코드가 함께 복원됐을 가능성을 지적했다. 고려대 김명주 교수는 초기 침투 경로(백도어)를 완전히 제거하지 않아 동일 경로로 재침투했을 가능성을 제시했다.
두 분석 모두 같은 결론을 가리킨다. 몸값을 지불해도 공격자는 접근 권한을 포기하지 않는다.
예스24 사례는 랜섬웨어 대응에서 가장 위험한 선택을 보여준다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.