[스트레이트뉴스 설인호 기자]  SK텔레콤 해킹 사태로 인한 후폭풍이 가시지 않은 가운데, 온라인 서점 예스24 고객정보 유출 사건까지 알려지면서 소비자들의 불안이 가중되고 있다. 

지난 9일 서점 예스24는 랜섬웨어 공격을 받아 웹사이트와 앱 서비스가 마비되는 사태가 발생했다. 이로 인해 도서 검색, 주문, 티켓 예매 등 서비스 이용에 차질이 생겼으며, 일부 공연은 예매가 취소되기도 했다. 

예스24는 11일 뒤늦게 입장문을 통해 일체의 데이터 유출이 없었으며 서비스 장애로 불편을 겪은 고객에 대한 보상안을 마련 중이라고 밝혔다. 하지만 해킹 인지 시점부터 한국인터넷진흥원(KISA) 신고, 그리고 고객 공지까지 늑장 대응했다는 비판이 나온다. 

이에 대해 KISA는 예스24가 기술 지원에 비협조적이며 기술 지원을 위한 정보 접근에서도 제한을 받았다고 반박했다. 개인정보보호위원회도 비정상적인 회원 정보 조회 정황을 확인 조사에 착수했다. 

예스24는 보안 인력을 총동원, 복구 작업에 들어갔지만 서버 일부 파일이 손상돼 복구에 어려움을 겪고 있는 것으로 알려졌다. 전체 복구는 이르면 15일로 예상된다. 

예스24 회원은 약 2000만 명으로, 이번 랜섬웨어 공격으로 고객 정보가 유출됐을 경우 피해 규모는 눈덩이처럼 불어날 가능성도 있다. 예스24 사이트는 문이 닫힌 상황이며 대신 '사과'와 '피해 신고' 안내를 담은 공지사항만 올려져 있는 상황이다.  

예스24 외에도 국비를 지원받는 교육정보 사이트 30여 곳이 해킹당한 사실도 추가로 해졌다. 사이버 보안 전문업체 오아시스 시큐리티에 따르면 해당 사이트에서 유출된 개인정보는 약 11만 건에 달한다. 

관련 기사 댓글이나 주요 인터넷 커뮤니티 글 중에는 "쉬쉬 하고 묻은 해킹 사고가 더 있는 거 아니냐", "여기가 해킹의 왕국이냐", "어차피 다 털린 거 마음 비우자" 등의 냉소적 반응도 나왔다. 

앞서 SK텔레콤에서도 지난 4월 18일 오후 대규모 해킹 사고가 발생한 바 있다. 마찬가지로 SK텔레콤도 KISA에 인지 시점을 늦게 보고했다는 의혹을 받고 있다. SK텔레콤 신고 시점은 약 이틀 뒤인 20일 은 4월 18일 오후다. 24시간 내 보고하도록 한 규정을 위반했다는 지적이다.

SK텔레콤은 고객 유심(USIM) 무상 교체와 유심 재설정 서비스를 도입하는 등 대응에 나섰지만 부실 대응에 대한 비판은 여전하다. 

SK텔레콤 가입된 고객 수는 2300만여 명에 달하며, 이번 사태 이후 유심을 교체한 고객은 약 720만 명이며, 다른 통신사로 옮긴 고객은 약 25만 명이다. 집단 소송에 참여한 1차 참여자만 9천여 명에 달한다. 

잇따른 해킹 사고에 정치권에서도 관련법 개정에 나섰다. 국민의힘 김상훈 의원과 조국혁신당 이해민 의원 등은 지난 12일 각각 개인정보보호법 개정안과 정보통신법 개정안 등을 발의했다. 

김 의원의 개인정보법 개정안은 이동통신사 등 보안 관련 '고위험 산업군'에 대해서는 인증기준을 엄격하게 적용하고 정보보호법을 중대하게 위반했을 경우 인증을 취소하도록 하는 내용을 담고 있다.

서류심사 중심이었던 인증 사후관리에 현장심사를 병행하고, 인증 미이행 시에는 과징금을 부과하도록 했다. 

이 의원의 정보통신법 개정안은 '이행강제금 도입법'이라는 별칭을 달았다. 개인정보 통지 내용에 재발 방지 대책 및 피해자 보호 계획 등을 포함하도록 하고, 정보주체와 개인정보보호위원회에 통보하도록 규정, 기업의 책임과 사후 대응 체계를 강화하는 것을 골자로 한다. 

함께 발의한 개인정보법 개정안(개별통지 의무화법)의 경우 개인정보 유출 발생 시 기업이 정보주체에게 전화, 문자, 이메일, 서면 등의 수단을 통해 개별적으로 통지하도록 의무화했다. 

개정안은 관련 상임위 심사 과정에서  책임자 처벌, 재발방지 대책 등 추가적인 입법 조치가 이어질 것으로 전망된다.