예스24, 기술지원 끝난 윈도 서버 OS 썼다

랜섬웨어 공격으로 닷새간 먹통 사태를 겪은 예스24가 기술지원이 종료된 윈도 운용체계(OS)를 사용했던 것으로 확인됐다. 보안 전문가들은 사이버 보안 의식 결여는 물론 정보기술(IT) 환경에 대한 무관심을 보여주는 대목이라고 입을 모았다.

17일 IT업계에 따르면 예스24는 서버 OS로 윈도 2018과 함께 윈도 2012을 여전히 사용하고 있다. 윈도우 2012는 마이크로소프트가 2023년 10월 기술 지원을 종료한 OS다. 공식적인 보안 패치 업데이트 지원을 받을 수 없어서 문제 발생 소지가 크다. 예스24는 사이버 공격 위협이 커진 상태를 1년 반 넘게 방치한 것이다.

예스24와 IT 관련 업무를 진행한 한 IT기업 대표는 “서버 OS는 4~5년 주기로 교체하거나 최소한 종료 이전에 교체를 한다”며 “예스24가 기술지원이 종료된 OS를 유지 중인 것을 보고 충격 그 자체였다”고 말했다.

그러면서 “장기간 사이트 운영이 정지된 비상식적인 일이 발생한 것도 이러한 IT 자산에 대한 무관심 때문”이라고 덧붙였다.

서버 OS로 주로 사용하는 리눅스가 아닌 윈도를 사용한 것도 문제로 꼽힌다. 윈도는 대중적으로 널리 사용되는 OS이기 때문에 해커의 공격이 활발하다.

엔트포인트 보안 전문가는 “윈도가 리눅스보다 시스템적으로 취약하다고 할 순 없다”며 “하지만 알려진 윈도 OS 취약점과 개발된 공격기법이 많아, 윈도 OS를 사용한 서버가 랜섬웨어 공격을 받고 피해를 입을 우려가 있다”고 말했다.

이뿐만이 아니다. 예스24는 낙후된 시스템을 운용하는 것으로 전해진다. 단적인 예로 사이트 개발에 '닷넷 프레임워크'를 사용하고 있다. 닷넷 프레임워크는 현재는 잘 사용하지 않는 개발 언어로 윈도 서버에서만 운영 가능하기 때문에 개발자의 외면을 받고 있다.

또 다른 사이버 보안 전문가는 “레거시 시스템을 쓰는 것 자체를 문제 삼을 순 없지만 회사의 수준을 보여주는 지표”라며 “아이폰16이 출시됐는데 여전히 아이폰4를 사용하는 것과 마찬가지”라고 꼬집었다.

그러면서 “통상 초기 개발자 퇴사 시 보수적으로 기존 시스템을 유지하는 경우가 있다”며 “회사 IT 자산을 정확히 파악하고 있는 내부 인력이 없어 복구가 지연됐을 가능성도 있다”고 덧붙였다.

예스24는 지난해 하반기 연간 계획을 세우고 업데이트를 진행하고 있다고 밝혔다.

예스24 관계자는 “현재 70% 이상 업그레이드를 진행했다”며 “6월 말 완료 목표였으나 이번 랜섬웨어 사태로 인해 일정 조정이 필요한 상황이며 최대한 빠르게 완료하려고 노력하고 있다”고 말했다.

조재학 기자 2jh@etnews.com, 권혜미 기자 hyeming@etnews.com