예스24, 연이은 해킹에 신뢰 바닥…ESG 평판도 흔들

한세예스24그룹 산하 예스24가 지난 6월에 이어 이달 두 번째 해킹 사고를 당했다. 6월 해킹 사고 발생 당시 은폐 논란을 일으킨 불투명한 대응으로 비난 받은데 이어 두 달 만에 또다시 서비스가 중단을 경험했다. 여기에 해킹 사고로 혼란한 시기 대주주의 주식 증여까지 이뤄지면서 더 큰 비난을 자초했다. 그동안 많은 공을 들여온 한세예스24그룹의 ESG도 훼손이 불가피해 보인다. 

22일 데이터뉴스 취재에 따르면, 예스24는 지난 6월 9일 새벽 랜섬웨어 해킹으로 도서 판매, 전자책 서비스, 공연 예매 등 모든 서비스가 중단됐다가 닷새만인 6월 13일부터 순차적으로 재개됐다. 

이 과정에서 예스24는 상식적이지 않은 불투명한 대응으로 비판받았다. 

예스24는 사고 초기 해킹 사고 사실을 밝히지 않고 홈페이지에 ‘시스템 장애로 인한 점검’이라는 공지만 게시했다. 한국인터넷진흥원(KISA)에 해킹 피해 신고도 당일 늦은 오후에 했다.

또 6월 11일 입장문을 통해 “KISA와 협력해 원인 분석과 복구 작업에 총력을 다하고 있다”고 발표했으나 사실이 아닌 것으로 드러났다. 당일 KISA는 예스24의 발표가 사실과 다르며, 기술 지원에 협조하지 않고 있다고 반박했다.

당국의 문제 해결 지원을 거부하면서도 협력하고 있다는 입장을 낸 것이다.

또 KISA에 따르면, 예스24는 랜섬웨어 감염에 대비한 오프사이트 백업 체계를 구축하지 않아 결국 공격자와 협상을 통해 정상화돼 재감염 위험 등 우려가 제기됐다. 

예스24는 대표이사 명의의 공식 사과문을 낸 지 두 달도 안 된 8월 11일 새벽 또다시 서비스가 중단되면서 신뢰가 바닥에 떨어졌다. 예스24는 이날 새벽 4시 30분 랜섬웨어 공격을 확인해 시스템을 차단하고 KISA에 신고했다.

여기에 예스24 해킹 사고로 혼란이 극에 달했던 6월 12일 김동녕 한세예스24그룹 회장이 막내딸인 김지원 한세엠케이 대표에게 한세예스24홀딩스 지분 5%(200만 주)를 증여해 비난을 받았다. 이를 통해 김지원 대표의 한세예스24홀딩스 지분율은 5.19%에서 10.19%로 늘어났다. 

예정된 일정에 따라 진행했다는 게 회사 측 입장이지만, 해킹 사고로 주가가 하락한 시점에 이뤄진 대주주의 지분 증여가 부적절하다는 비판이 이어졌다.

이처럼 연이은 해킹 사고 발생과 불투명한 대응 과정, 적절하지 않은 지분 증여 등이 그동안 한세예스24그룹이 공 들여온 ESG 노력을 크게 훼손시켰다는 평가다.

한세예스24그룹 지주사 한세예스24홀딩스는 지난해 한국ESG기준원(KCGS)으로부터 ESG 종합 A 등급을 받았다. 환경(E)은 B+, 사회(S)와 지배구조(G)는 A등급이었다. 2023년 B+ 등급에서 A 등급으로 상승한 뒤 2년 연속 A 등급으로 평가됐다. 

김석환 한세예스24홀딩스 부회장은 지난해 ESG 평가 당시 “한세예스24그룹이 받은 이번 평가는 그룹이 실천하고 있는 환경, 사회, 지배구조 부문의 다양한 ESG 추진 노력을 인정받은 결과”라며 “앞으로도 한세예스24그룹의 전 계열사가 ESG 가치를 실현하기 위해 최선을 다할 것”이라고 말했다.

하지만, 이번 해킹 사태에서 예스24와 대주주가 보인 모습을 이 같은 다짐과는 거리가 있다는 평가다. 김동녕 회장의 장남인 김 부회장은 현재 예스24 대표이사를 맡고 있다.

강동식 기자 lavita@datanews.co.kr