[디지털 신뢰 위기 보고서] ⑤예스24해킹...책보다 값진 것은 데이터다

온라인 서점 예스24는 단순히 책을 파는 플랫폼이 아니다.

수백만 독자의 구매 패턴과 결제 정보, 취향 데이터까지 담고 있는 거대한 데이터 창고다. 책보다 값진 건 결국 데이터라는 말이 여기서 현실이 된다. 그러나 그 자물쇠가 여러 차례 열려왔다는 사실은 많은 이들에게 충격과 불안을 안겼다.

예스24의 보안 사고는 이번이 처음이 아니다.

2017년에는 해커가 회원 DB에 침투해 수십만 건의 개인정보가 유출되는 사건이 있었고, 이후에도 크고 작은 침해 시도가 이어졌다. 최근 사고까지 더해지면서 고객들 사이에서는 “예스24는 보안에 늘 허술하다”는 인식이 자리잡게 됐다. 한 번도 아니고 여러 번 반복된 사고는 우연이 아니라 구조적 문제라는 뜻이다.

문제는 데이터의 성격이다.

독서 이력은 단순 취향 정보가 아니다. 특정 분야의 책을 구매한 기록만으로도 정치적 성향, 사회적 관심사, 직업적 특성이 드러난다. 여기에 결제 수단과 주소, 연락처까지 함께 유출되면, 개인의 생활 전반이 고스란히 노출된다. 보안 전문가들은 “예스24가 쌓아둔 데이터는 책보다 값진 자산이지만, 동시에 해커에겐 더 값진 표적”이라고 경고한다.

더 큰 문제는 대응 방식이었다.

예스24는 사고가 터질 때마다 공지문을 올렸지만, 피해 규모와 구체적 유출 항목에 대해 모호하게 설명하는 경우가 많았다. 피해 회원들이 스스로 피해 여부를 확인하기 어려웠다는 점에서 불신이 증폭됐다. 반복된 사고에 반복된 불투명 대응, 고객들은 이제 “또?”라는 냉소를 보내고 있다.

전문가들은 예스24의 보안 리스크가 구조적이라고 지적한다.

첫째, 전자상거래 기업임에도 보안 투자가 미흡하다는 점이다. 통신사나 금융권처럼 규제 강도가 높지 않다 보니 상대적으로 보안 강화에 뒤처졌다는 것이다. 둘째, 데이터 최소 수집·보관 원칙이 지켜지지 않았다는 점이다. 마케팅과 추천 시스템을 위해 과도한 데이터를 축적해왔고, 이것이 오히려 위험을 키웠다. 셋째, 위기 커뮤니케이션의 미성숙이다. 사고가 터질 때마다 “피해는 크지 않다”는 메시지로 대응했지만, 고객들은 오히려 “무언가를 숨기고 있다”는 불신을 키웠다.

그렇다면 해법은 무엇일까. 보안 전문가들은 크게 세 가지를 꼽는다.

첫째, 데이터 관리 구조의 재설계다. 핵심 고객정보와 취향데이터, 결제데이터를 구분해 보관하고, 외부 접근은 원천적으로 차단해야 한다.

둘째, 반복 사고에 대한 체질 개선이다. 단기적 땜질이 아니라, 전사적 보안 거버넌스를 강화하고 CEO 직속의 보안 책임 조직이 실질적 권한을 가져야 한다.

셋째, 신뢰 회복을 위한 투명성이다. 피해 규모와 조치 방안을 명확히 공개하고, 고객이 스스로 피해 여부를 확인할 수 있는 체계를 마련해야 한다.

책은 잃어버려도 다시 살 수 있지만, 신뢰는 그렇지 않다.

예스24의 사례는 단순한 보안 구멍이 아니라, 반복된 허술함이 고객의 신뢰를 얼마나 빠르게 무너뜨리는지를 보여준다. 이제 예스24가 해야 할 일은 더 이상 “사고 후 대응”이 아니다. 책보다 값진 데이터, 그리고 데이터보다 값진 신뢰를 지키는 일이다. 그 책임에서 더 이상 도망칠 수 없다.

금몽전 기자  kmj@kmjournal.net