12일 서울 영등포구 예스24 본사. [ⓒ연합뉴스]

[디지털데일리 이학범기자] 최근 랜섬웨어 해킹으로 인해 전산 시스템이 마비됐던 예스24(YES24)의 지난해 정보보호 투자 현황이 공개됐다. 전년 대비 투자 규모를 늘리고, 보안 인력을 증원했음에도 이번 사태를 막지 못한 것으로 나타났다.

지난달 30일 한국인터넷진흥원(KISA) 정보보호 공시 현황에 따르면, 예스24의 정보기술(IT) 부문 투자액은 2023년 138억6463만4908원에서 2024년 146억1955만7906원으로 약 5.44%(7억5492만2998원) 증가했다.

같은 기간 정보보호 부문 투자액도 2023년 12억6981만6042원에서 2024년 16억6582만3784원으로 약 31.19%(3억9600만7742원) 증가하면서, IT 투자액 대비 보안 투자 비율이 9.2%에서 11.4%로 늘었다.

매출 대비 보안 투자 비중도 증가했다. 예스24는 2024년 약 6635억원의 매출을 기록하며 매출의 약 2.20%를 보안에 투자했다. 2023년에는 매출 6571억원으로 2.11%의 비중을 투자한 것으로 나타났다.

정보보호 부문 전담 인력도 늘어난 것으로 확인됐다. 예스24의 IT 부문 인력은 2023년 116.3명에서 2024년 112.6명으로 약 3.18%(3.7명) 감소했는데, 같은 기간 정보보호 부문 전담 인력은 9.1명에서 10.1명으로 10.99%(1명) 증가했다.

다만 내부 인력 비중은 축소됐다. 예스24의 정보보호 부문 전담 내부 인력은 2023년 8명이었는데, 2024년 7.7명으로 소폭 줄었다. 대신 외주인력이 1.1명에서 2.4명으로 늘어나면서, 외주인력 비중이 2023년 12.09%에서 2024년 23.76%로 늘어났다. 예스24의 정보보호 부문 전담 내부 인력이 줄어든 것은 2022년 공시 이후 처음이다.

사내 전체 기술적 보안을 총괄하는 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)는 이전과 동일하게 이사 직책에서 맡고 있으나, 주요 활동 실적은 없었다. 정보보호 관련 인증은 ISMS-P 인증과 ePRIVACY PLUS 인증 등을 보유 중이다.

한편 예스24는 이달 랜섬웨어 해킹 공격으로 인해 웹사이트와 모바일 어플리케이션 등이 마비되는 사태를 겪었다. 특히 예스24가 해킹 사태를 인지하고도 고객들에게 해킹 사실을 뒤늦게 알리면서 논란이 한층 불거졌다. 나아가 기술 당국의 지원 요청을 거부하고도 정부와 협력하고 있다고 발표해 거짓 해명 논란이 일기도 했다.