YES24 랜섬웨어 사태

“백업은 있었지만, 서비스는 멈췄다”

2025년 국내 대표 온라인 서점 플랫폼인 YES24 가 랜섬웨어 공격을 받아 대규모 서비스 장애를 겪었습니다. 단순 홈페이지 오류 수준이 아니라 전자책, 티켓 예매, 주문 조회 등 핵심 서비스 대부분이 중단되며 사회적 파장이 크게 확산되었습니다.

특히 YES24는 단순 쇼핑몰이 아니라

전자책 플랫폼
공연·콘서트 티켓 서비스
팬미팅 응모 플랫폼
문화 콘텐츠 유통 시스템

역할까지 수행하고 있었기 때문에 장애 영향 범위가 매우 넓었습니다.

이번 사건은 단순한 서버 장애가 아니라

랜섬웨어 대응 실패
백업 전략 한계
네트워크 분리 미흡
사고 공지 지연
복구 체계 부족
서비스 의존성 문제

를 동시에 드러낸 대표적인 보안 사고로 평가됩니다.

사건 개요

2025년 6월 YES24는 랜섬웨어 공격으로 인해 주요 시스템이 암호화되면서 서비스가 중단되었습니다.

장애가 발생한 서비스는 다음과 같습니다.

YES24 홈페이지
모바일 앱
전자책 서비스
주문 조회 시스템
티켓 예매 및 확인
공연 입장 관련 시스템

특히 공연 당일 티켓 확인이 불가능해 실제 현장에서 입장이 지연되는 문제까지 발생했습니다.

전자책 사용자들은 구매한 콘텐츠에 접근하지 못했고, 일부 이용자는 “내가 구매한 디지털 자산을 플랫폼 장애 때문에 사용할 수 없다”는 문제를 체감하게 되었습니다.

이는 클라우드 시대의 플랫폼 의존성 위험을 보여준 사례이기도 합니다.

랜섬웨어란 무엇인가

랜섬웨어(Ransomware)는 시스템 내부 데이터를 암호화한 뒤 금전을 요구하는 악성코드입니다.

기본 동작 과정은 다음과 같습니다.

시스템 침투
관리자 권한 확보
내부 네트워크 확산
백업 서버 탐색
데이터 암호화
금전 요구

최근 랜섬웨어는 단순 파일 암호화 수준이 아닙니다.

현대 랜섬웨어 조직은:

내부 데이터 탈취
백업 삭제
Active Directory 장악
가상화 서버 공격
클라우드 계정 탈취

까지 수행합니다.

즉 단순 악성코드가 아니라 “기업 전체를 마비시키는 조직형 공격”에 가깝습니다.

공격은 어떻게 이루어졌을까

YES24는 정확한 침투 경로를 공개하지 않았지만, 보안 업계에서는 일반적으로 다음 가능성을 높게 보고 있습니다.

1. 피싱 메일 기반 초기 침투

가장 흔한 방식입니다.

직원이 악성 첨부파일 실행, 악성 링크 클릭, 가짜 로그인 페이지 접속 등을 수행하면 공격자가 내부 시스템 접근 권한을 획득하게 됩니다.

특히 최근 공격은 실제 업무 메일처럼 위장, 협력업체 사칭, 인사/세금 문서 위장 등 매우 정교하게 제작됩니다.

2. VPN 및 원격접속 취약점 악용

많은 기업이 VPN, 원격 데스크톱(RDP), 관리용 웹 콘솔을 외부에 노출합니다.

문제는

MFA 미적용
약한 비밀번호
패치 미적용
계정 재사용

등이 존재할 경우 공격자가 쉽게 내부망에 진입할 수 있다는 점입니다.

실제로 최근 랜섬웨어 조직들은 VPN 취약점을 주요 침투 경로로 활용하고 있습니다.

3. 내부 확산(Lateral Movement)

공격자는 초기 침투 이후 바로 암호화를 진행하지 않습니다.

먼저 관리자 권한 획득, 도메인 컨트롤러 탐색, 백업 서버 탐색, 중요 DB 확인 등 내부 정찰(Reconnaissance)을 수행합니다.

이후 PowerShell, PsExec, 원격 명령 도구 등을 활용해 내부망 전체로 확산합니다.

이 단계에서 네트워크 분리와 권한 분리가 부족하면 피해 규모가 급격히 커집니다.

왜 복구가 오래 걸렸는가?

1. 백업 서버까지 공격받았을 가능성

현대 랜섬웨어 조직은 백업부터 노립니다.

왜냐하면 백업이 살아 있으면 기업이 몸값을 지불하지 않아도 되기 때문입니다.

따라서 공격자는:

백업 삭제
백업 암호화
백업 접근 권한 탈취

를 우선 수행합니다.

백업이 운영망과 연결되어 있으면 함께 감염될 가능성이 매우 높습니다.

2. Active Directory 장악 문제

Windows 기반 기업 환경에서 핵심은 Active Directory(AD)입니다.

AD가 장악되면:

사용자 인증
서버 접근
정책 관리
관리자 권한

모두 공격자 통제 하에 들어갑니다.

이 경우 단순 서버 복구만으로는 해결되지 않습니다.

기업은:

전체 인증 체계 재구성
계정 재발급
권한 재설정

까지 수행해야 합니다.

3. 감염 범위 확인 문제

복구보다 더 중요한 것은:

“어디까지 감염되었는가”

입니다.

감염되지 않은 시스템에 복구 데이터를 넣어도, 공격자가 남아 있으면 다시 감염됩니다.

따라서 기업은:

포렌식 조사
로그 분석
악성코드 제거
계정 조사

를 먼저 수행해야 합니다.

이 과정 때문에 복구가 며칠 이상 걸리는 경우가 많습니다.

YES24 대응의 문제점

1. 초기 공지 부족

초기에는 단순 시스템 점검 수준으로 안내되었다는 비판이 있었습니다.

하지만 실제로는

랜섬웨어 감염
대규모 시스템 마비
서비스 운영 중단

상황이었던 것으로 알려졌습니다.

보안 사고에서 투명한 공지는 매우 중요합니다.

왜냐하면 이용자는

개인정보 위험 여부
결제 위험성
계정 안전성
서비스 이용 가능 여부

를 즉시 판단해야 하기 때문입니다.

2. 단일 플랫폼 의존성 문제

YES24는

전자책
주문
티켓
회원 인증

등이 강하게 연결되어 있었습니다.

결국 하나의 핵심 시스템 장애가 전체 서비스 마비로 이어졌습니다.

이는 SPOF(Single Point of Failure) 문제의 대표 사례입니다.

3. 보안보다 운영 편의성이 우선된 구조

많은 기업이

빠른 배포
운영 효율성
시스템 연동 편의성

을 우선합니다.

하지만 이 과정에서

네트워크 분리 부족
과도한 권한 공유
백업망 연결
관리자 계정 통합

등이 발생합니다.

랜섬웨어는 바로 이런 구조를 노립니다.

기업은 어떻게 대응해야 하는가

1. Zero Trust 도입

핵심 원칙은 “내부 사용자도 기본적으로 신뢰하지 않는다.”입니다.

즉,

모든 접근 검증
최소 권한 적용
지속적 인증 확인
세션 기반 모니터링

이 필요합니다.

2. 네트워크 분리 강화

특히 다음은 반드시 분리해야 합니다.

운영망
개발망
백업망
관리자망

백업망은 인터넷 및 운영망과 직접 연결되지 않는 구조가 이상적입니다.

3. MFA(다중 인증) 의무화

VPN, 관리자 계정, 클라우드 콘솔에는 반드시 MFA를 적용해야 합니다.

비밀번호만으로는 현대 공격을 막기 어렵습니다.

4. EDR/XDR 기반 탐지 체계 구축

기존 백신만으로는 랜섬웨어 대응이 어렵습니다.

최근에는

EDR
XDR
UEBA

기반 행위 분석이 핵심입니다.

예를 들어

대량 파일 암호화
비정상 PowerShell 실행
관리자 권한 상승
백업 삭제 시도

등을 탐지해야 합니다.

5. 오프라인 백업 구축

가장 중요한 대응입니다.

백업은

운영망과 분리
읽기 전용 저장
오프라인 보관
정기 복구 테스트

가 필요합니다.

백업이 존재하는 것과 “실제로 복구 가능한 것”은 완전히 다른 문제입니다.

이 사건이 남긴 의미

YES24 사건은 단순한 전산 장애가 아닙니다.

이 사건은 현대 사회가 얼마나 플랫폼 중심으로 움직이는지를 보여주었습니다.

서비스 하나가 멈추자:

공연 입장
독서
주문 확인
결제
고객 서비스

모두 영향을 받았습니다.

또한 디지털 자산의 실질적 소유권 문제도 드러났습니다.

사용자는 전자책을 “구매”했지만, 플랫폼이 멈추자 접근조차 불가능했습니다.

결론

YES24 랜섬웨어 사태는 한국 기업들이 왜 랜섬웨어 대응 체계를 근본적으로 재검토해야 하는지를 보여준 사건입니다.

오늘날 랜섬웨어는 단순 바이러스가 아닙니다.

그들은

기업 구조를 분석하고
내부망을 장악하며
백업을 제거하고
운영을 마비시키는

“기업형 공격 조직”에 가깝습니다.

결국 중요한 것은 단순 차단이 아닙니다.

침투를 얼마나 빨리 탐지할 수 있는가
내부 확산을 얼마나 막을 수 있는가
백업이 실제 복구 가능한가
서비스 연속성을 유지할 수 있는가

가 핵심입니다.