-

755__알라딘 전자책 상품 유출 불법 복제- e북 해킹 유출 사고 대응--10ok

뚱보강사 이기성

    755__알라딘 전자책 상품 유출. 불법 복제 사고 대응은?

알라딘 서점이 5월 19일에 발생한 전자책 유출에 대해... [시사주간] 이민정 기자기 보도했다(2023년 5월 22일). 인터넷 서점 알라딘이 최근 논란이 된 전자책 유출에 대해 "2차 피해를 막아야 하는 의무를 깊이 통감하고 이를 위해 모든 노력을 기울이고 있다"고 밝혔다. 알라딘은 최우경 대표 명의로 자사 공지사항을 통해 "알라딘 전자책 상품이 유출된 것으로 확인돼, 정확한 경위와 피해 규모를 파악 중"이라며 "이번 건은 전자책 상품의 불법적 탈취 행위이며, 불법 파일의 복제 및 무단 배포 역시 출판 생태계를 망치는 중대 범죄"라고 전했다.

이에 따라 알라딘은 모니터링 시스템 가동을 비롯해 신고 보상제 등을 통해 대응하겠다는 입장이다. 이들은 "전담 모니터링 인원을 배치하고 대한출판문화협회, 한국출판인회의 등 출판단체에 이 사실을 알리고 적극 대응하겠다"며 대응 방안을 설명했다. 전자책 유출에 대해 알라딘은 경찰청 사이버수사국과 한국저작권보호원에 신고를 마친 상태다. 사태 해결을 위해서 기금을 편성했다. 알라딘은 이번 기금을 "전자책 무단배포 관제센터 설립과 운영, 무단 배포된 불법 전자책 신고 시 포상금 지급, 무단 배포되는 전자책 이용의 불법성에 대한 캠페인 등에 사용할 것"이라고 했다.

전자책 유출 논란은 지난 5월 19일 텔레그램을 통해 '알라딘 전자책 100만 권을 탈취했다'고 주장하는 일당이 등장하면서, 온라인 커뮤니티를 통해 빠르게 확산됐다. 알라딘은 사안을 인지 후, 사내 시스템을 점검하고 유출 경위 등을 조사 중인 상황이다. 알라딘이 자체적으로 조사한 결과 유출된 자료는 극히 일부며, 디지털저작권관리(DRM) 프로그램의 암호화가 해제된 정황 또한 아직까지 발견하지 못한 것으로 전해졌다.

     5,000여 개 전자책 파일 불법유통 확인

[보안뉴스] 김영명 기자가 보도했다(2023년 5월 25일). 알라딘, “현재까지 5,000여 개 전자책 파일 불법유통 확인”. 저작권보호원, 사고 즉시 알라딘 측과 공조 통해 유출 목록 확인... 불법 확산 차단 위해 모니터링 지원. 인터넷 커뮤니티 디시인사이드, 알라딘에 KISA 신고 및 신속한 장애 대응 요구 글 올라오기도... 한국저작권보호원(이하 보호원)은 알라딘이 지난 18일에 보호원의 불법복제물 신고 사이트인 COPY112를 통해, “1천 종의 전자책 무단 배포와 85만여 종의 파일을 추가 배포하겠다는 텔레그램 방을 확인해 알라딘 뿐만 아니라 출판사, 저자들의 피해가 극심할 것으로 추정되어 신속한 조치를 요청한다”는 내용으로 관련 내용을 신고했다고 밝혔다.

보호원은 이달 23일을 기준으로, 알라딘 측과 공동으로 해당 텔레그램 채널을 추적한 결과 알라딘에서 상업적으로 판매되고 있는 epub(electronic publication)과 PDF 파일이 아무런 보호조치 없이 유통되고 있는 것을 확인했다고 밝혔다. 또한, 현재 해당 채널은 폐쇄된 상태이다. 보호원은 국내에 서버를 두고 운영되는 사이트에 게시된 불법 복제물이 발견되는 경우, 저작권법(법률 제18547호) 제133조(불법 복제물의 수거·폐기 및 삭제)의 3에 의해 저작권보호심의위원회의 심의를 거쳐 온라인서비스제공자(Online Service Provider, OSP)에게 관련 내용물의 삭제와 전송중단 및 게시자 경고의 시정권고 행정조치를 하고 있다.

다만, 텔레그램은 국내 사업자의 서비스가 아닌 해외에서 운영하는 SNS 사업자이기 때문에 국내 저작권법의 효력이 미치지 않을 수도 있다고 밝혔다. 한편, 보호원은 이번에 유출된 ebook 목록을 파악했으며, 국내 OSP에서 불법으로 유통·확산하는 것을 방지하기 위해 모니터링을 지원할 계획이다. 보호원 관계자는 “현재 처음으로 유포된 A. Exploit 채널은 폐쇄됐지만, 유사 텔레그램 채널에 대해 지속해서 모니터링을 진행해 출판단체와 수사기관에 불법 유통과 관련한 내용이 포착되면 곧바로 공유할 예정”이라며 “알라딘 측과 협력해 유출 도서 목록 전수조사, 채증 지원, 출판 저작물 보호를 위한 공동 캠페인 등을 추진할 계획”이라고 설명했다.

한편, 이번 주 초에 인터넷 커뮤니티 포털 디시인사이드에는 한 유저가 알라딘에 침해 사실을 인지했음에도, 한국인터넷진흥원에 신고하지 않고 신속하게 장애 대응을 하지 않았다며 신속한 신고와 후속 조치를 하라는 글이 올라와 눈길을 끌고 있다. 해당 유저는 메시지에서 “알라딘커뮤니케이션은 2023년 5월 20일 14시경 귀사의 전자매체 이용 권리 인증에 대한 라이센스 서버의 침해 사실을 인지했음에도 불구하고 한국인터넷진흥원에서 안내하는 바, 침해사실을 신고하지 않고, 장애 대응 또한 하지 않았습니다.

(...) 만약 침해자가 공개한 비트코인 주소로 침해자가 요구하는 금액이나, 그에 현저히 상응하는 금액을 송부하는 트랜잭션(암호화폐송부기록책)이 확인될 시, 귀사의 서버의 24/7 DDoS 공격을 감행할 것입니다. (...) 별첨한 자료는 제가 해당 자료를 가지고 있다는 증빙 자료 및 침해의 내역입니다. 별지 확인 바라겠습니다”라는 메일 작성 글을 올렸다. 받는 사람의 메일 주소는 알라딘의 출판사 책소개·보도자료 담당 이메일로 확인되고 있다.

     해커가 제시한 전자책의 ‘몸값’ 34억

온라인서점 알라딘에서 전자책 해킹 사건이 발생했다. 해커들이 전자책 100만 권을 알라딘에서 빼냈다고, 텔레그램 익명 채팅방에서 주장했다. 자신들의 해킹 주장을 입증하려고 전자책 파일들을 대화창에 공개하기도 했다. [한겨레] 김진철 기자가 보도했다(2023년 6월 12일). 해커가 제시한 전자책의 ‘몸값’은?.. 100비트코인(약 34억 원)을 보내지 않으면 100만 권 전부를 유포하겠다고 알라딘을 협박했다. 이랬던 게 지난달 중순께다. 아직 100만 권 해킹이 사실인지, 부풀려 주장하는 것인지 확인되지는 않고 있다. 다만 알라딘 쪽은 전자책 해킹·유출 사실을 인정했고, 대한출판문화협회는 전자책 5천여 권이 불법 유통됐다고 공식 확인했다. 이 5천여 권은 해커들이 텔레그램방 채팅에 공개한 전자책 파일들이다.

100만 권 해킹이라는 해커들 주장이 사실이라면 막대한 규모다. 2021년 한 해 동안 신간이 모두 6만 4657종(납본 기준) 발행됐으니, 단순 계산으로만 15년치 신간에 해당하는 정도다. 무엇보다 전자책 해킹 사건 자체가 초유의 사태다. 종이책과 달리 전자책은 파일 공유로 무제한 복제와 유통이 가능하다. 온라인 세상에서 퍼지기 시작하면 삽시간에 걷잡을 수 없는 수준으로 퍼질 수 있다. “몇십 년간 유령처럼 온라인에서 떠돌 것”이라는 대한출판문화협회의 우려는 지나치지 않다. 이미 빈사 상태에 이른 출판사들은 악 소리도 내지 못하고 있다.

그런데 이상하다... 너무나 조용하다... 알라딘 쪽에서 사과문을 내면서 경찰에 수사 의뢰하고, 정확한 피해 규모와 경위를 파악 중이라고 했는데, 아직 아무런 진척 상황이 공개되지 않고 있다. 해커들이 어떤 방식으로 보안을 뚫고 전자책을 빼냈는지도 알 수 없다. 전자책이 아니라 케이(K)팝 음원이나 오티티(OTT) 드라마 시리즈가 해킹됐어도 이렇게 조용할까?

비트코인 같은 가상자산이 털렸다면 어땠을까? 온 나라가 벌집을 건드린 듯 시끄러웠을 것이다. 특별수사본부가 꾸려지고 재발 방지 대책이 논의됐을 것이다. 글과 책도 노래나 영상처럼 창작물일 뿐 아니라 작가들의 소중한 자산인데, 전자책 해킹 사태는 어쩐지 신기하리만치 조용하기만 하다. 이미 유출된, 베스트셀러가 포함돼 있다는 5천 권을 떠올리면 입이 쓰다. 불법 파일을 내려받거나 유통하는 것은 범죄행위다. 그러니 해커들이 공개한 5천 권이, 3천 명이 있던 익명 채팅방에 올라왔어도 더는 퍼지지 않는 것은 성숙한 시민의식을 보여주는 것이라고 믿으면 마음은 편할 것이다.

그러나 직시해야 할 현실은, 수준 높은 시민의식이 아니라 책을 읽지 않는 한국이 아닐까 싶다. 1년간 책을 한권도 읽지 않는 성인이 절반이 넘는 나라에서, 전자책 해킹이 대형 사건으로 인식되긴 어려울 것이다. 정부와 지방자치단체가 출판지원사업을 뒤흔들고 도서관을 스터디룸으로 활용하겠다고 나서도 별 관심을 받지 않는 독서 후진국임을 또다시 절감한다. 해커들이 제시한 전자책 ‘몸값’이 1권에 3400원 꼴이니, 이 나라의 독서와 출판 현실을 보여주는 이보다 더 적나라한 숫자가 있을 것 같지 않다.

정부는 그사이에 케이북이라는 말까지 들고 나왔다. 지난 7일 문화체육관광부와 박보균 장관까지 나서서 ‘케이북 비전 선포식’도 열었다. 여느 부처들이 내놓는 성장 전략처럼 4대 전략과 10대 추진 과제도 발표했다. 세계 3대 문학상 수상이라는 목표에까지 박수 칠 생각은 없지만, ‘케이컬처의 바탕은 책’이라는 비전의 한 대목이나, 모두가 장벽 없이 책을 누리도록 하겠다는 전략은 기립 박수라도 쳐주고 싶다. 디지털 시대에 발맞춰 전자책 제작 지원을 확대하고 디지털 도서 물류체계도 마련하겠다는 전략도 시의적절하다.

그런데도 어딘가 찜찜함은 사라지지 않는다. 전자책 100만 권이 해킹되고도 이토록 조용한 세상에서, 정부는 성대하게 케이북 비전을 발표하고, 그에 앞서 연간 84억 원 규모의 예산이 들어가는 세종도서 사업을 수술하겠다고 나선 판이니, 그야말로 ‘웃픈’ 현실이 아닌가. 누구나 책을 쓰고 누구나 출판할 수 있도록 하려면, 누구나 책을 쓰고 싶고 누구나 출판을 하고 싶어야 하는데 ‘책 덮은 나라’에서 가능한 일일까? 유통 플랫폼 보안이 더욱 강화되고 전자책이 범죄의 인질이 되지 않아야겠지만, 책이 제값을 받지 못하는 현실이 몹시 씁쓸하다.

     e북 해킹 유출 사고. 업계 어떻게 대응?

알라딘 e북 해킹 유출 사고 한 달... 전자책 업계 빅 5, 어떻게 대응하고 있나? [보안뉴스] 김영명 기자가 보도했다(2023년 6월 26일). 국내 대표 전자책 플랫폼 5곳... 예스24, 리디, 밀리의서재, 북큐브, 교보문고의 대응현황 들어보니, 처음 신고 받은 한국저작권보호원... 추가 유출은 없지만 꾸준히 모니터링 중. 경찰청 사이버수사국, 5월 19일부터 수사 시작... 수사 중인 사안 언급 못해...

온오프라인 중고 서점 ‘알라딘(Aladin)’에서 해킹으로 인한 전자책(이하 ‘e북’) 유출 사고가 일어난 지 한 달이 넘었다... <보안뉴스>에서 지난 5월 19일 단독 기사로 알라딘의 e북 파일이 해킹으로 유출됐으며, 해커는 텔레그램에서 샘플을 공유하고 있다고 보도한 바 있다. 알라딘 e북 유출 사건은 국내 출판 산업의 근간을 뒤흔들 수 있는 사상 초유의 사건으로, 전자책 업계뿐만 아니라 출판사, 서점은 물론 작가들에게도 생존의 위협으로 다가올 수 있다. 해커는 100만 권 유출을 주장하고 있는데, 현재까지 5,000여 권 유출이 확인된 상태로 파장은 갈수록 커지고 있다.

이번 사건을 계기로, 국내에서 전자책 서비스를 하고 있는 주요 기업 △예스24 △리디북스 △밀리의서재 △북큐브 △교보문고 5곳의 플랫폼 담당자와 인터뷰를 진행했다.

① 예스24... ‘크레마클럽(Crema Club)’이라는 이름의 e북 월정액 서비스를 시행한다. 예스24는 보안을 강화하기 위해 주기적으로 DRM(Digital Rights Management) 프로세스와 로직을 강화하고 있으며, △관리적 △논리적 △기술적 등 3중 체계로 전자책 데이터를 관리하고 있다. 예스24는 전자책 업계와 오프라인 서점을 통틀어 가장 많은 정보보호 인력을 확보하고 있다고 밝혔다. 예스24 담당자는 “올해 들어 전자책 업계 최초로 ISMS-P 인증을 받았고, 보안 전문기업과의 협력을 통해 DRM 보안 강화와 함께 전체적인 보안 서비스 체계를 지속적으로 관리하고 있다”며 “기본적으로 DRM 솔루션에는 두 개의 암호 로직을 사용하고, 해당 암호 로직도 주기적으로 변경하고 있다”고 밝혔다.

이어 “기술적 측면에서 예스24는 전자책 뷰잉 서비스와 함께 티켓팅 서비스도 하고 있기 때문에 아이돌 그룹 콘서트 티켓팅 예약 관련해서도 어뷰징이 꾸준히 늘어나고 있다”며 “이상 접근에 대해서도 24시간 실시간 모니터링을 하고 있고, 이를 바탕으로 보안에 빈틈이 없도록 관리하고 있다”고 강조했다.

② 리디... ‘풍부한 상상, 깊은 통찰로 인류의 정신을 풍요롭게’라는 캐치프레이즈로 전자책 서비스를 시작한 리디(RIDI)는 DRM 기술을 선제 도입하고 서비스 안정성 강화를 위해 내부 시스템 접근 권한 강화, 취약점·인프라 진단을 위한 모의해킹 등 보안 프로세스를 구축해 상시 운영하고 있다. 리디 관계자는 “리디 내부에는 정보보안팀을 별도로 운영하고 있으며, 정보보호최고책임자(CISO), 정보보호관리자, 정보보호담당자 등 내부 전담인력을 통해 보안관리 시스템을 고도화하고 있다”며 “이와 함께 매년 전사 구성원을 대상으로 개인정보보호 교육을 진행하고 창작물 보안을 위한 다방면의 노력을 기울이고 있다”고 덧붙였다. 리디는 2009년 11월 처음 서비스를 시작했다.

리디 관계자는 “내부 보안체계에 대해 세부적으로 언급하기는 힘들지만, 지난 15년여간 리디 브랜드를 이어오면서 서비스 안정성을 위해 최신 보안기술을 도입하고, 내부 보안 시스템을 끊임없이 고도화해 나가고 있다”고 밝혔다.

③ 밀리의서재... 구독형 도서 시비스로 서비스 초반부터 눈길을 끌었던 밀리의서재는 전자책 업계를 선도하며 큰 반향을 일으켰다. 밀리의서재는 현재 국내에서 월정액 도서 서비스 중 가장 많은 규모인 약 12만 권의 전자책을 읽을 수 있는 것으로 알려졌다. 밀리의서재 관계자는 “밀리의서재는 창작물 저작권에 대해 매우 중요하게 생각한다”며 “수많은 내부 콘텐츠가 유출되지 않도록 상시 모니터링 등 보안 강화에 만전을 다하고 있다”고 말했다. 이어 “특히, DRM 전문 솔루션 도입으로 저작물이 유출되지 않도록 최선을 다하고 있으며, 실시간 모니터링 체계도 강화하고 있다”고 설명했다.

④ 북큐브네트웍스... 북큐브네트웍스에서 서비스하는 북큐브(BookCube)는 국내 최초로 e북 편당 100원 유료 결제로 웹소설을 제공하며, 현재 웹소설 업계 표준이 된 비즈니스 모델의 기반 구축에 일조했다. 북큐브네트웍스 관계자는 “이번 알라딘 해킹 사건에 대해 우려하고 있으며, 자체적으로 보안을 강화하고 있다”면서도 “보안인력 현황이나 보안 프로세스 등에 대한 세부적인 내용을 언급하기는 힘들다”고 말했다.

⑤ 교보문고... 교보문고의 전자책 서비스는 단편 결제 구독 시스템인 ‘eBook’과 함께 eBook 월정액 서비스 브랜드 ‘sam’ 등으로 전자책 서비스가 제공되고 있다. 교보문고 관계자는 “교보문고는 문서 기반 DRM 솔루션을 채택해 전자책 보안을 강화하고 있으며, 검증되고 체계적인 상용 솔루션인 만큼 지금까지 e북 콘텐츠가 유출된 사례는 단 한 건도 없다”고 강조했다. 이어 “e북 데이터를 보관 중인 서버를 해킹해 콘텐츠가 유출되는 것에 대비해 2중, 3중으로 인프라 및 소프트웨어 보안을 강화하고 있으며, 행여나 e북 데이터가 유출됐다고 하더라도 복호화 과정이 필요하도록 암호화해 관리하고 있다”고 설명했다.

이와 함께 교보문고는 회사 내부에 보안 파트를 별개의 부서로 둬 관리하고 있으며, 전 직원이 월 1회 클린데스크 시행 등 사무환경에 대한 보안 위협을 점검하고 악성메일에 대한 모의훈련을 실시하는 등 회사 차원에서 보안 이슈에 철저히 대비하고 있다고 밝혔다. 교보문고 관계자는 “이번 알라딘 e북 유출 사태의 심각성에 대해 잘 인지하고 있으며, 이로 인해 외부로부터의 공격에 대한 모니터링과 방어는 더욱 강화하는 방향으로 보안정책을 추진하고 있다”며 “기존에도 내부 유출 리스크를 방지하기 위한 관리자 로그 기록 등 상시 모니터링 체계를 운영하고 있으며, 최근에는 관련 부서간 크로스체크 등 보안관리를 더욱 강화하고 있다”고 소개했다.

한편, 한국저작권보호원은 “A. Exploit이라는 텔레그램 채널에 총 4,965종의 EPUB과 PDF 파일 형식의 전자책이 전송된 사실을 확인했고, 알라딘 측과 유출 목록을 공유했다”며 “보호원은 저작권자로부터 저작권 보호 요청을 접수 받아 해외 저작권사무소를 통해 해외 사이트 모니터링을 하고 있는데, 다행히 유출 목록에 포함된 도서가 해외 사이트에서 발견된 사례는 아직 없다”고 밝혔다. 또한, 경찰청 사이버수사국 관계자는 “지난 5월 19일부터 수사가 진행됐다”면서 “현재 수사가 진행 중인 사안에 대해서는 아무것도 언급할 수 없다는 점을 양해 바란다”고 했다.

[참고] [시사주간] 이민정 기자, 2023.05.22.

https://post.naver.com/viewer/postView.naver?volumeNo=35976745&memberNo=16745602&vType=VERTICAL

https://blog.aladin.co.kr/m/cscenter/14598569?Partner=&fbclid=IwAR0oeTKCW30Pzq_RVefXpV5G8iJctkcAIIwJAU2j1MOzg3kCEfjklpkIwOc

[참고] [보안뉴스] 김영명 기자, 2023-05-25.

https://www.boannews.com/media/view.asp?idx=118447&skind=5

[참고] [한겨레] 김진철 기자, 2023-06-12.

https://www.hani.co.kr/arti/opinion/column/1095632.html?fbclid=IwAR3IwAAI_KHteOaSsy7MVX8BIlGD4gYmJneTRnJw7Gvv-2BbcKDFEbTqcgg

[참고] [보안뉴스] 김영명 기자, 2023-06-26.

https://www.boannews.com/media/view.asp?idx=119366&kind=&fbclid=IwAR2plkJM9_e4bE9yl0u5aqfikWb2BKXShQrK3LWvzWeur1Qk2lMTWE3DvWc

-