2025년 6월 9일, yes24홈페이지가 [시스템 점검 안내]라는 공지와 함께 모든 서비스가 중단되었다.
실제로는 당시 해킹 사실을 이미 인지하고 한국인터넷진흥원(KISA)에 신고한 것으로 드러났다. 이는 10일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 KISA로부터 제출받은 자료를 공개하며 밝혀졌다.
6월 10일과 11일, KISA에서 해킹 사태를 파악하기 위해 예스24본사로 사고 분석 전문 인원들을 2차례 파견했지만, 예스24는 기술 지원에 협조하지 않았다.
6월 11일, [랜섬웨어로 인한 서비스 접속 오류] 라는 공지가 다시 떴다.
6월 12일, KISA에 기술지원을 요청했고, 예스24의 공연 예매내역 시스템이 일부 복구되었다.
6월 13일, 홈페이지 및 일부 기능( 도서 및 음반/DVD, 문구/기프트, 이북 상품 구매, 크레마클럽 서비스, 주문 결제 기능, 티켓 서비스)이 복구되었다.
예스24측에서 외부 랜섬웨어가 시스템 장애의 원인이었음을 밝혔다.
6월 19일, 이용자들에게 보상안을 지급했다.
결과
해커에게 거액의 비트코인을 지불해 타협했다.
예스24 이용자들에게 5000원의 상품권, 공연 관람 불가 고객에게 120% 환불, 배송 지연에 따른 포인트 지급 등 보상책을 발표했다.
문제점
1. 서버 OS로 윈도 2018과 윈도 2012를 사용해 왔는데 윈도 2012는 2023년 10월에 기술지원 서비스를 종료했다.
공식적인 보안 패치 업데이트 지원을 받을 수 없어서 문제 발생 소지가 크다. 예스24는 사이버 공격 위협이 커진 상태를 1년 반 넘게 방치한 것이다.
또, 윈도우 서버를 사용해 해커 공격이 활발할 수 있었다. 리눅스보다 잘 알려진 윈도우 OS의 경우 취약점과 개발 기법이 많다.
2. 낙후된 시스템인 '닷넷 프레임워크'를 사이트 개발에 사용했다.
3. 서버 정보를 백업해두지 않았다.
정보보안 기본 원칙에 따라 백업 데이터는 주시스템과 논리적, 물리적으로도 완전히 분리되어 적용되어야 한다.
3-2-1 백업 규칙을 따라야 한다. (3개의 복사본, 2개의 서로 다른 미디어에 저장, 1개는 물리적으로 떨어진 장소에 보관하는 규칙)
대응 방안
1. EDR 솔루션 적용
컴퓨터나 서버 등 개별 기기에서 발생하는 위협을 실시간으로 탐지하고 대응하는 보안 솔루션이다. 공격자의 체류 시간을 최소화하고, 침투 경로를 거슬러 올라가 근본 원인을 찾아내며, 프로세스 간 행위를 연관 분석해 피해 범위를 좁히는 것이 핵심이다.
2. 서버 OS 패치
서비스가 종료된 OS 버전이 있다면 최신 버전으로 패치를 해야 한다.
3. 백업 시스템을 3-2-1 백업 규칙에 따라 갖추어야 한다.
4. 모의 해킹 훈련 및 데이터 암호화를 실시해야 한다.
5. 랜섬웨어와 같은 침해 사고가 일어났을 때 사건 인지 즉시 신고하고, 투명하게 공개해야 한다.
https://n.news.naver.com/article/374/0000445491?sid=101
https://www.topstarnews.net/news/articleView.html?idxno=15709865
https://weekly.chosun.com/news/articleView.html?idxno=42919
https://v.daum.net/v/20250617170109533
https://dpg.danawa.com/news/view?boardSeq=60&listSeq=5831761&utm_source=chatgpt.com