작년 5월 발생한 알라딘의 전자책 유출 사태 발생 직후 출범한 대한출판문화협회(이하 출협) 산하 '알라딘 전자책 유출 피해보상 및 재발방지 대책위원회'가 조사에 착수한 지 1년 만에 조사 결과와 방지 대책을 내놨다.
그러나 문학과지성사, 다산북스 등 주요 출판사들의 출판인들이 속한 한국출판인회의가 알라딘커뮤니케이션 측과 사실상 보상 합의를 하면서 출협 대책위의 결과 발표는 보상보다 해킹 시뮬레이션 결과에 따른 향후 방지 대책 마련에 초점이 맞춰졌다.
출협 대책위가 20일 오후 서울 삼청동 출판문화회관 대강당에서 연 '알라딘 전자책 유출 피해 출판사 설명회'에서 대책위원장을 맡은 김시열 출협 저작권담당 상무이사는 "오늘 발표는 작년 12월 알라딘커뮤니케이션과 (한국출판인회의 주도의) 출판사들이 위로금 성격의 보상금 합의를 하면서, 우리 대책위에서 더 포괄적으로 전자책 유통과 보안 대책 등을 점검하고 향후 대책 방안을 설명하는 자리가 필요하다고 판단해 자리를 마련했다"고 말했다.
이어 "작년 5월 전자책 유출 피해 사태가 발생한 이후 조사단을 꾸려 12월 조사를 마쳤지만 진상 조사와 결과 분석 등 최종 결과를 도출하기까지 많은 시간이 소요되면서 발표 시점이 늦춰졌다"고 덧붙였다.
대책위는 전자책 유출 피해 원인 규명과 보안 실태를 파악하기 위해 알라딘커뮤니케이션과 함께 작년 8월부터 11월까지 4개월 동안 알라딘 인프라 진단과 시스템에 대한 모의 해킹 테스트, DRM(디지털 콘텐츠 저작권 보호 기술) 운영체제를 점검했다.
인프라 진단에서는 기업의 정보보호 관리체계 인증인 ISMS 인증 문서 확인과 정보 및 보안관리 담당자 인터뷰, 서버 스크립트를 점검한 결과 인프라(서버)의 기본적인 운영체제 취약점이 발견됐다.
모의 해킹 테스트에서는 전자책 API 서버, PC/모바일 전자책 뷰어와 안드로이드 구 버전(2019년 이전) 모바일 뷰어를 점검한 결과 모바일 뷰어 앱에서 2개의 취약점이 확인됐다.
DRM 운영체제의 경우 정보 및 보안관리 담당자와의 인터뷰를 통해 8개의 취약점이 확인됐다.
알라딘 전자책 유출 사고는 해커들이 웹서버 및 뷰어 소프트웨어의 취약점을 이용해 암호화된 전자책을 암호화 되기 이전으로 복호화(디코딩) 한 뒤 전자책 5천권을 텔레그램에 무단 공개하면서 발생했다.
해커는 구 뷰어프로그램의 DRM 마스터키를 획득한 뒤 무작위대입 공격 방식으로 중요 정보를 획득해 전자책을 무더기로 다운로드 받았다. 이 과정에서 구 뷰어프로그램 소스 코드 등에 존재할 수 있는 보안 취약점을 제거하는 시큐어 코딩이 부재했던 것으로 한국인터넷진흥원(KISA) 조사 결과 드러났다. 아울러 획득한 마스터키로 무작위대입 공격에 대응하는 사용자 검증코드가 미비해 자료 유출 사태를 키웠다.
대책위는 "전자 콘텐츠가 유출되더라도 복호화 암호(코드)가 없으면 정상적으로 콘텐츠를 볼 수 없어 무용지물이지만, 알라딘에서는 콘텐츠 보호 체계에서 실패한 것"이라며 "2023년 서울도서관에서 발생한 전자책 300여권 유출 사건이나 전자책 143만권의 복호화 암호를 해킹 당한 예스24의 경우도 동일한 보안 실패 사례"라고 지적했다.
그러면서 "많은 출판 유통사들이 한국인터넷진흥원의 정보 보호 지원을 받고 있지만 여러 면에서 자체적인 보안 관리 노력이 부족하다는 생각이 든다"고 말했다.
출판업계를 발칵 뒤집은 범인은 16세의 고교생이었다. 독학으로 코딩을 배운 A군은 천재적인 해킹 능력으로 DRM 해제 방법을 알아낸 뒤 범행을 저질렀다. 이유는 다양한 책 읽기를 좋아했지만 책값이 비싸 원하는 책을 다 구하지 못하자 전자책 운영체제의 인증절차나 복호화 코드 관리가 허술하다는 것을 간파하고는 알라딘이 보유한 전자책 72만권을 불법으로 내려받은 뒤 5천권을 텔레그램 등 온라인에 유출했다. 여기에 그치지 않고 피해 확산을 우려한 알라딘의 약점을 잡고 협박해 비트코인과 현금이 포함된 돈까지 뜯어냈다. 결국 경찰의 수사망을 피하지 못하고 검거됐다.
출협과 대책위는 알라딘과의 보상 협상 결과에 대해서는 고개를 숙였다.
작년 11월 문학과지성사, 다산북스 등 대형 출판사 출판인을 회원사로 둔 한국출판인회의와 산하 '전자책 불법유출 피해 출판사 대책위원회'가 알라딘에 전자책 공급을 중단하겠다며 피해 보상금 지급을 요구하자 알라딘 측은 12월 소속 140개 출판사들과 보상금 지급에 합의했다. 올해 3월부터 피해 출판사에 보상금이 지급되고 있다.
반면 출협이 위임 받아 대리한 출판사는 282개사로 피해가 발생한 전체 유료 저작물의 62.5%에 달하지만 대형 출판사 주도의 보상금 합의가 이루어지면서 출협이 보상 협상 주도권에서 밀린 것 아니냐는 관측이 나왔다.
이 과정에서 중소형 출판사들은 보상금 규모를 두고 입장 차이를 보였다. 피해에 비해 보상금 책정이 적정하지 않다는 볼멘소리가 나왔다. 출협은 최종적으로 원활한 보상을 이끌어내지 못해 송구하다며 고개를 숙였다.
김시열 대책위원장은 "출협 대책위와 출판인회의가 각기 피해 회원사를 대리해 업체와 협의를 했던 측면이 있다. 저희는 피해 원인 조사 규명이 우선 필요하다고 생각해 조사를 진행한 반면, 출판인회의가 보상 협상에 먼저 임하면서 결과적으로 시차가 발생한 측면이 있다"면서 "결과적으로 모두에게 흡족한 결과를 내지 못해 (위임 출판사들에게) 죄송하다는 말씀을 드린다"고 말했다.
이날 설명회에 참석한 알라딘 최우경 대표는 "여러 차례 출판사 단체와 간담회를 가졌는데 그때마다 사과 말씀과 사태 재발 방지를 위한 노력의 말씀을 드렸다"면서 "지난 1년 동안 CTO(최고기술책임자) 직제를 신설해 최고 전문가를 영입하는 등 시스템 안정성 확보를 위한 전담 조직을 가동했고, CISO(정보보호최고책임자)에도 적합한 임원을 배치해 지적된 보안 강화에 위해 노력하고 있다"고 말했다.
알라딘은 피해 출판사 보상 방안 외에 향후 대책 마련에 2억원의 출연금을 출협에 내놓기로 했다. 출협은 출연금을 이번 실태 조사 비용과 최소한의 독자 모니터링 시스템, 출판사와 유통사 등이 참여하는 협의체 운영 비용으로 활용할 계획이다.
출협은 이번 사태를 계기로 출판사와 유통사 간의 비균형적 계약이나 거래 관행을 개선할 필요성을 제기했다. 출판사와 유통사 간의 계약에서 콘텐츠 보안 유지 의무 조항이나 유출 피해 시 보상책임 사항이 모호하거나 아예 빠져 있는 경우가 많아 이를 보완하는 표준계약서 마련이 필요하다는 입장이다.
또한 유통사들이 자체적으로 KISA의 정보보호체계관리 인증을 받았지만, 이번 사태처럼 미숙한 점이 발견된 만큼 유통사들이 공동으로 참여하는 정기 점검이나 모의해킹 대회 등을 상시화 해 대응할 필요가 있다고도 했다.
아울러 전자책 유출 귀책 사유가 명확한 경우 징벌적 보상을 명시하고, 표준 DRM을 개발하는 등 출판업계와 유통사가 공동 대응하는 시스템이 필요하다고 요구했다.
다만, 유통사들이 이 같은 방안에 긍정적이지 않아 현실화 될 수 있을지는 의문이다. 출협은 여러 인력과 비용이 발생하는 문제여서 다소 어려운 점이 있지만 이번 사태를 계기로 출판계와 유통사들이 적극적으로 고민할 필요가 있다고 강조했다.
윤철호 출협 회장은 "출판계와 유통사의 다양한 의견이 있고, 만족스럽지 못한 부분도 있다는 점을 잘 알고 있다"면서 "출판계 출판인들과의 회동에서도 최근 대학가 불법 스캔 때문에 매출이 크게 저하됐다며 출판 산업의 황폐화를 우려하는 상황이다. 충분하지 않겠지만 차곡차곡 문제를 해결해 좋은 출판 생태계를 만들 수 있도록 나갈 수 있도록 노력하겠다"고 말했다.