전자책 143만권 '복호화 키' 해킹 당한 예스24, 보안 실태 우려에도 "콘텐츠 유출은 없었다"

인터넷 서점 알라딘을 해킹해 72만 권의 전자책 데이터를 탈취한 10대 해커가 경찰에 붙잡혔다. 이 가운데 예스24 또한 알라딘의 약 2배에 해당하는 143만 권의 전자책 데이터를 해킹당한 것으로 알려져, 인터넷 서점의 보안 실태에 대한 우려의 목소리가 나오고 있다.

21일 경찰청 사이버수사국은 지난 5월 인터넷서점 알라딘의 정보통신망에서 무단 취득한 전자책 72만 권 중 5000여권을 유포하며, 피해 업체를 대상으로 가상화폐를 요구한 피의자 A(16)군과, 이에 가담한 공범 B(29) 및 C(25)를 검거했다고 밝혔다.

경찰에 따르면 A군은 지난 5월 피해 업체 정보통신망의 취약점을 이용해 인터넷서점 알라딘의 전자책 72만여 권의 DRM(디지털 콘텐츠 암호화 기술)을 해제할 수 있는 복호화 키를 무단 취득했으며, 이 중 전자책 5000권의 DRM을 해제해 유포한 것으로 확인됐다. 또한 같은 방식으로 인터넷서점 예스24 전자책 143만여 권의 복호화 키를 취득해 데이터를 탈취한 것으로 나타났다.

예스24 측은 전자책 데이터 복호화 키 유출 사고가 발생했음에도 불구하고, “콘텐츠 유출은 없었다”란 입장이다. 반면 앞서 보도된 내용에 따르면 예스24는 경찰의 수사가 시작되기 전까지 복호화 키가 유출 당한 사실을 인지하지 못했던 것으로 알려졌다.

즉, 해커가 이른 시간 내 복호화한 데이터를 유출하지 않았던 것일 뿐, 보안 점검 등을 통해 데이터 유출을 사전에 방지하는 것은 실패한 것이다. 앞서 예스24 관계자는 해킹 피해 사실이 알려지기 전 <뉴스워커>와의 통화에서 “경찰 발표에서 언급된 143만 권의 전자책 데이터는 예스24의 컨텐츠가 아니며, 당사의 컨텐츠 유출 사실은 없다”라며 해킹 피해 사실을 부인하기도 했다.

유출된 알라딘의 전자책 5000여 권이 모두 개방형 자유 전자서적 표준인 EPUB 형식으로 저장돼 있었다는 점에서, 예스24의 전자책 데이터 유출 또한 가능했을 것으로 풀이된다. 반면 예스24는 전자책 복호화 키 유출 등의 피해를 홈페이지 등을 통해 알리지 않았으며, 피해 당사자인 출판계에 해당 사실 고지 여부는 확인되지 않았다.

또한 정보보호 공시 종합 포털에 따르면 예스24는 지난해 전체 정보기술부문 투자액의 약 5.1%에 해당하는 9억원 상당의 예산을 정보보호부문 투자했음에도 복호화 키 유출을 막지 못한 것으로 나타났다. 심지어 예스24는 한국인터넷진흥원이 주관하는 ISMS-P(정보보호 및 개인정보보호관리체계) 인증을 취득하기도 했다.

한편 앞서 대한출판문화협회는 알라딘 전자책 데이터 유출 사실이 알려진 직후 성명을 내고 “무한 복제가 가능하고, 시공간의 영향을 받지 않는다는 점에서 전자책 파일 유출은 종이책을 도둑맞는 것과는 차원이 다르다”라며 전자책 데이터 유출이 출판계에 재앙이 될 수 있음을 경고했다.