안녕하세요, 로피드법률사무소의 하희봉 변호사입니다. 최근 우리 사회를 떠들썩하게 만들었던 2025년 YES24 서비스 마비 사태는 단순한 전산 장애를 넘어, 기업의 정보보호 책임과 소비자의 권리에 대한 여러 쟁점을 낳고 있습니다. 오늘 이 시간에는 사건의 전말을 법률적인 시각에서 살펴보고, 피해를 입은 소비자들이 어떤 권리를 가지며 어떻게 대응할 수 있을지 자세히 알아보겠습니다. ⚖️
들어가며: 2000만 회원 정보 인질극, YES24 서비스 마비 사태의 전말
랜섬웨어 공격과 시스템 마비: 사건의 시작 🚨
2025년 6월 9일 새벽 4시경, 국내 대표 인터넷 서점 YES24는 랜섬웨어 공격으로 인해 홈페이지, 모바일 앱, eBook 서비스 등 관련된 거의 모든 서비스가 마비되는 초유의 사태를 맞았습니다. 심지어 오프라인 서점 업무까지 일부 제한되었고, 계열사인 스타일24 웹사이트도 접속 불가 상태에 빠졌습니다. 이는 단순한 서비스 중단을 넘어, 수많은 회원의 개인정보가 해커의 손에 인질로 잡힌 심각한 보안 사고였습니다.
“시스템 점검 중” 뒤에 숨겨진 진실: 초기 대응의 법적 문제점 🤨
사건 발생 직후, YES24는 “더 나은 서비스 제공을 위한 시스템 점검”이라는 공지를 띄웠습니다. 하지만 이는 거짓 공지였습니다. 이미 내부적으로는 랜섬웨어 공격 사실을 인지하고 있었음에도, 이를 소비자들에게 투명하게 알리지 않은 것입니다. 이러한 초기 대응은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 및 개인정보보호법상 기업이 지켜야 할 정보 공개 의무와 신뢰 보호 원칙에 위배될 소지가 큽니다. 소비자는 자신의 정보가 위험에 처했다는 사실을 신속하고 정확하게 알 권리가 있기 때문입니다.
YES24의 꼬리 무는 거짓 해명과 법적 책임 논란
랜섬웨어 피해 실토, 그러나 끝나지 않은 의혹
KISA 신고는 했지만… 뒤늦은 피해 사실 공개의 문제 ❗
YES24는 6월 9일 오후에 한국인터넷진흥원(KISA)에 해킹 피해 사실을 신고했다고 밝혔습니다. 정보통신망법 제48조의3에 따르면 정보통신서비스 제공자는 침해사고 발생 시 지체 없이 관계 기관에 신고해야 할 의무가 있습니다. 신고 자체는 이루어졌을지 모르나, 정작 가장 중요한 정보 주체인 고객들에게는 다음 날인 6월 10일이 되어서야 랜섬웨어 피해 사실을 뒤늦게 공지했습니다. 이 과정에서 고객들은 영문도 모른 채 서비스 이용에 큰 불편을 겪어야 했습니다.
“개인정보 유출 없다”에서 “유출 정황 확인”까지: 반복된 말 바꾸기의 법적 의미 🤔
더 큰 문제는 개인정보 유출 여부에 대한 YES24의 태도였습니다.
- 6월 10일: “내부 조사 결과 개인정보 유출 정황은 확인되지 않았다” (YES24 공식 X)
- 6월 11일 오후: “개인정보는 일절 유출·유실이 없다는 점을 확인했다” (한국경제 보도 인용)
- 6월 11일 밤: 개인정보보호위원회가 “YES24 측이 ‘비정상적인 회원 정보 조회 정황’ 즉 ‘개인정보 유출 정황’을 확인하고 신고했다”고 밝힘. (조선일보 보도)
- 6월 12일: YES24, “만에 하나의 가능성에 대비하여” 개인정보 유출 가능성 공지.
이처럼 YES24는 개인정보 유출 문제에 대해 오락가락하는 모습을 보이며 소비자들의 불신을 키웠습니다. 개인정보보호법 제34조는 개인정보 유출 시 정보 주체에게 유출 사실, 항목, 시점, 경위, 피해 최소화 방법, 대응 조치 등을 지체 없이 통지하도록 규정하고 있습니다. YES24의 대응은 이러한 법적 의무를 제대로 이행했는지 의문을 갖게 합니다. 특히, “모든 고객 정보가 탈취 당하고” 라는 초기 보도 내용을 고려할 때, 유출이 없었다는 주장은 설득력이 떨어집니다.
KISA 기술지원 비협조와 허위 발표: 조사 방해 논란과 법적 책임 (조선일보, 이투데이 보도 분석)
“KISA와 협력 중” 발표와 KISA의 정면 반박 💥
YES24는 6월 11일, “KISA와 협력하여 원인 분석 및 복구 작업에 총력을 다하고 있다”는 2차 입장문을 발표했습니다. 그러나 이는 곧바로 KISA에 의해 정면으로 반박되었습니다. KISA는 같은 날 밤 “예스24가 KISA의 기술지원에 협조하지 않고 있다”며, “예스24와 협력하여 조사한 사실은 없다”는 이례적인 ‘심야 보도 자료’를 배포했습니다 (조선일보 보도). 이는 기업이 국가기관의 조사에 비협조적인 태도를 보인 것으로, 사태 해결을 더욱 어렵게 만들고 법적 책임 문제로까지 비화될 수 있는 심각한 사안입니다. 필요한 경우 업무방해 또는 공무집행방해죄 적용 가능성도 배제할 수 없습니다.
과거 알라딘 사태 당시 출판협회 보안 조사 거부 이력의 시사점 📜
이투데이 보도에 따르면, YES24는 2년 전 ‘알라딘 전자책 유출 해킹 사태’ 당시 대한출판문화협회가 진행한 보안 실태조사에도 참여를 거부하고 자체 점검표만 서면으로 제출한 이력이 있습니다. 이러한 과거의 행적은 이번 KISA 비협조 논란과 맞물려, YES24의 보안 문제에 대한 안일한 인식과 폐쇄적인 태도를 보여주는 것은 아닌지 의구심을 갖게 합니다. 외부 전문가의 객관적인 진단을 거부하는 태도는 보안 취약점을 방치하는 결과로 이어질 수 있습니다.
개인정보보호위원회의 조사 착수: 개인정보보호법 위반 여부 🔍
결국 6월 11일, 개인정보보호위원회는 YES24의 개인정보 유출 사고에 대한 조사에 착수했습니다. 이는 YES24가 개인정보보호법상 안전조치 의무(제29조), 유출 통지 의무(제34조) 등을 제대로 이행했는지 면밀히 살펴보겠다는 의미입니다. 조사 결과 위법 사실이 확인될 경우, 과징금 부과, 시정명령, 형사고발 등의 조치가 내려질 수 있습니다.
내 정보는 안전한가? 개인정보 유출 피해와 소비자의 법적 권리
랜섬웨어 공격과 개인정보 탈취: 무엇이 문제인가? 😥
이번 사건은 단순 ‘유출’을 넘어 해커에 의한 ‘탈취’로, YES24조차 자사 고객 정보에 접근하지 못하는 상황이 발생했습니다. 염흥열 순천향대 정보보호학과 명예교수는 “랜섬웨어가 감염됐다면 예스24 정보 시스템의 관리자 권한이 탈취된 것”이며 “그러면 (해커들이) 모든 것들을 다 할 수 있다”고 지적했습니다 (이투데이 보도). 이는 이름, 아이디, 연락처, 주소 등 민감한 개인정보가 고스란히 범죄자에게 넘어갔을 가능성을 시사하며, 보이스피싱, 스미싱, 명의도용 등 2차 피해의 위험이 매우 큽니다.
YES24의 개인정보 유출 관련 공지: 법적 요건 충족 여부 📄
YES24는 6월 12일 개인정보 유출 가능성에 대한 공지를 올렸지만, 그 내용과 시기가 적절했는지는 따져봐야 합니다.
- 통지의 시기: 개인정보 유출 사실을 인지한 후 ‘지체 없이’ 통지해야 함에도 불구하고, 외부 기관의 발표 이후에야 소극적으로 공지한 점.
- 통지의 내용: “현재까지의 내부 조사 결과로는 유출 정황이 확인되지 않았습니다”라면서도 “만에 하나의 가능성에 대비하여”라는 모호한 표현을 사용. 유출된 정보 항목도 특정하지 못함.
- 통지의 방법: “현 시점에는 개별 통지가 어려운 상황이라 본 공지를 통해 우선 안내”한다고 했으나, 이는 법에서 정한 요건을 충족하기 어려울 수 있습니다. 특히 피해 신고 및 문의 접수처로 안내된 고객센터는 연결조차 되지 않았습니다.
이러한 점들은 개인정보보호법상 통지 의무를 제대로 이행하지 않았다는 비판을 받을 수 있습니다.
소비자 피해 유형과 손해배상 청구 가능성
서비스 이용 불가, 공연 취소 등 직접적 피해 🎫📚
- 도서 검색, 주문, 배송 지연 및 취소
- 전자책 열람 불가 (DRM 해독 실패)
- 공연 예매 및 확인 불가, 팬사인회 취소, 콘서트 일정 변경 등
- YES포인트 사용 불가, 쿠폰 만료
이러한 직접적인 재산상, 정신상 피해에 대해 소비자들은 YES24를 상대로 채무불이행 또는 불법행위에 기한 손해배상을 청구할 수 있습니다. 특히 공연 티켓의 경우, 단순 환불을 넘어 공연 관람 기회 박탈로 인한 정신적 고통까지 고려될 수 있습니다.
개인정보 유출로 인한 2차 피해 우려와 대응 방안 🛡️
개인정보 유출로 인한 가장 큰 우려는 2차 피해입니다. 이미 유출된 정보가 다크웹 등에서 거래되거나 악용될 가능성을 배제할 수 없습니다. 소비자들은 다음과 같은 대응을 고려해야 합니다.
- YES24 또는 금융기관을 사칭한 문자/이메일/전화 주의
- 출처 불분명한 링크나 첨부파일 클릭 금지
- 비밀번호 주기적 변경 (다른 사이트와 동일한 경우 함께 변경)
- 명의도용방지서비스(Msafer) 가입, 계좌정보통합관리서비스(Payinfo) 확인
- 피해 발생 시 즉시 경찰청, KISA 등 관련 기관에 신고
YES24의 보상안, 법적 책임 이행으로 충분한가? 💰➡️⚖️
YES24는 1차, 2차에 걸쳐 보상안을 발표했습니다. (예: 전체 회원 5000원 상품권, 서비스별 보상 등). 그러나 이러한 보상안이 개인정보 유출로 인한 정신적 고통(위자료)과 잠재적인 2차 피해 위험까지 모두 포괄한다고 보기는 어렵습니다. 과거 대규모 개인정보 유출 사건에서 법원은 1인당 수만 원에서 수십만 원의 위자료를 인정한 사례들이 있습니다. 따라서 YES24의 보상안이 미흡하다고 판단될 경우, 소비자들은 집단소송 등을 통해 정당한 배상을 요구할 수 있습니다. 로피드법률사무소는 이러한 소비자들의 권리 구제를 위해 적극적으로 법률 지원을 제공할 준비가 되어 있습니다.
기업의 정보보호 의무와 책임: YES24 사태가 남긴 교훈
정보통신망법 및 개인정보보호법상 기업의 기술적·관리적 보호조치 의무
기업은 고객의 개인정보를 안전하게 관리하기 위해 정보통신망법 제28조 및 개인정보보호법 제29조에 따라 기술적·관리적 보호조치를 취할 의무가 있습니다. 여기에는 접근통제시스템 설치·운영, 암호화 기술 적용, 접속기록 보관 및 위·변조 방지, 보안프로그램 설치 및 갱신 등이 포함됩니다.
기술 지원 종료 OS 사용 문제와 보안 투자 소홀 💻🔒
메인 문서 여담에 따르면, YES24는 서버 OS로 마이크로소프트가 2023년 10월 기술 지원을 종료한 윈도우 2012를 여전히 사용하고 있었다고 합니다. 기술 지원이 종료된 OS는 새로운 보안 위협에 매우 취약합니다. 이는 기업이 기본적인 보안 관리조차 소홀히 했을 가능성을 시사하며, 명백한 기술적·관리적 보호조치 의무 위반으로 판단될 수 있습니다. 보안 투자를 소홀히 한 결과가 얼마나 큰 피해로 이어질 수 있는지 보여주는 사례입니다.
사고 발생 시 기업의 투명한 정보 공개 및 피해 구제 노력의 중요성 🗣️🤝
이번 사태에서 YES24는 초기 대응부터 정보 공개, 피해 구제 노력에 이르기까지 많은 문제점을 드러냈습니다. 사고 발생 시 기업은 숨기거나 축소하려 하기보다, 투명하게 정보를 공개하고 책임 있는 자세로 피해 구제에 적극적으로 나서야 합니다. 이것이 장기적으로 소비자의 신뢰를 회복하는 길입니다.
재발 방지를 위한 기업 보안 시스템 점검 및 강화 방안 🛡️⬆️
YES24는 이번 사고를 계기로 보안 체계를 원점에서 재점검하고, 외부 보안 자문단 도입, 보안 예산 확대 등을 약속했습니다. 이는 당연한 조치이며, 다른 기업들 또한 이번 사태를 타산지석으로 삼아 자사의 정보보호 시스템을 전반적으로 점검하고 강화해야 할 것입니다.
로피드법률사무소의 제언: IT·개인정보 침해, 법률 전문가와 함께 대응해야
YES24 사태 관련 법률 상담 안내 📞
YES24 랜섬웨어 사태로 인해 피해를 입으신 소비자분들, 혹은 이번 사건과 유사한 개인정보 침해나 IT 관련 법적 문제로 어려움을 겪고 계신 분들은 주저하지 마시고 로피드법률사무소로 문의해 주시기 바랍니다. 저희 법률사무소는 IT, 개인정보보호, 지식재산권 분야에서 풍부한 경험과 전문성을 바탕으로 여러분의 권리 구제를 위해 최선을 다할 것입니다. 개별적인 손해배상 청구부터 집단분쟁 대응까지, 맞춤형 법률 서비스를 제공해 드립니다.
기업 정보보호 컴플라이언스 구축의 중요성 🏢✍️
한편, 기업 입장에서 이러한 보안 사고는 막대한 경제적 손실은 물론 기업 이미지 실추라는 심각한 결과를 초래합니다. 로피드법률사무소는 기업들을 대상으로 정보보호 관련 법규 준수(컴플라이언스) 시스템 구축, 개인정보보호 체계 진단, 임직원 교육 등 사전 예방을 위한 법률 자문도 제공하고 있습니다. 선제적인 법률 검토와 시스템 구축이야말로 최선의 방어책입니다.
YES24 사태는 우리 사회 전체에 정보보호의 중요성을 다시 한번 일깨워준 사건입니다. 부디 이번 일이 개인정보보호에 대한 경각심을 높이고, 기업들의 책임 있는 자세를 유도하는 계기가 되기를 바랍니다. 로피드법률사무소 하희봉 변호사는 앞으로도 IT와 개인정보보호 관련 법률 문제 해결을 위해 항상 여러분 곁에 있겠습니다. 감사합니다.