전자책 대량 해킹 '초유의 사태'…2년 전 이미 경고 나왔었다

전자책 파일 읽어주는 '이펍' 앱
2021년 조사 결과 보안 취약 심각
"취약점 많아…공격 안 할 이유 없다"

최근 대형 온라인 서점 알라딘에서 전자책(e북)이 대량으로 해킹돼 유출되는 초유의 사태가 발생했다. 자칫 국내 e북 산업에 심각한 악영향을 끼칠 수 있다는 우려가 나온다.

정확한 사건 경위와 불법 유출 방식은 현재 조사 중이지만, 불과 2년 전 국제 학계에선 'e북의 배포 및 실행 구조에 심각한 보안 취약성이 있다'는 내용의 연구 논문이 나와 세간의 주목을 받은 바 있다.

알라딘은 30일 자사 홈페이지 공지사항에 '전자책 상품 유출 관련 안내'를 게재하고 고개를 숙였다. 최우경 알라딘 대표는 "출판사와 저자 여러분께 머리 숙여 깊이 사과드린다"라며 "알라딘 전자책 상품이 유출된 것으로 확인돼 정확한 경위와 피해 규모를 파악 중"이라고 밝혔다.

전자책. 사진은 기사 중 특정 표현과 관계 없음 [이미지출처=연합뉴스]

최 대표에 따르면 이번 사태는 전자책 상품을 불법적으로 탈취한 행위다. 알라딘 측은 사건 발생을 인지한 후 경찰청 사이버수사국 및 한국저작권보호원에 신고한 것으로 전해졌다.

해당 사건은 지난 18일 온라인 커뮤니티 '디시인사이드'에 올라온 한 누리꾼의 글에서 시작됐다. 이 누리꾼이 게재한 글에 따르면, 이날 비공개 사회관계망서비스(SNS) 채팅방에는 알라딘 전자책 유출본 파일 18기가바이트(GB)가 올라왔다고 한다. 분량으로 따지면 책 1000권이다.

유출본을 게재한 사람은 'A.Exploit'이라는 아이디를 사용하는 해커이며, 그는 총 17테라바이트(TB)에 달하는 약 85만권 분량의 전자책 데이터를 보유했다고 주장했다. 그는 탈취한 유출본을 돌려주는 대가로 100비트코인(BTC·약 35억원)을 요구하고 있다.

해커가 어떻게 알라딘의 전자책을 탈취했는지 여부는 구체적으로 알려지지 않았다. 하지만 정황상 '익스플로잇(exploit)' 기법을 사용한 것으로 추정된다. 익스플로잇은 컴퓨터 소프트웨어나 하드웨어의 버그, 보안 취약점 등 설계상 결함을 파고드는 해킹 기법이다.

전자책 시장에서 대형 해킹 사건이 발생한 것은 이번이 처음이다. 하지만 전자책 생태계의 보안 취약점은 과거부터 계속해서 경고돼 왔다. 2021년 영국 런던에서 열린 '블랙햇 유럽' 콘퍼런스가 대표적이다. 블랙햇 콘퍼런스는 매년 보안 취약점 관련 연구 결과와 최신 트렌드를 공유하는 행사다.

이 해에 벨기에 출신 박사 준비생 2명이 전자책 소프트웨어의 보안 취약점을 연구한 보고서를 공개해 주목받았다. 연구자들이 지적한 문제의 소프트웨어는 '이펍(ePub)'이었다. 이펍은 전자책 파일을 다운로드받아 컴퓨터나 태블릿, 스마트폰 등에서 실행 가능한 '전자책 리더기'를 이르는 말이다.

e북 파일을 배포하고 읽을 수 있는 핵심 소프트웨어 '이펍'의 보안 취약성 문제는 과거부터 계속해서 거론돼 왔다. [이미지출처=블랙햇유럽컨퍼런스]

오늘날 대부분 전자책 기업들은 자체 이펍 애플리케이션(앱)을 만들어 고객에 제공한다. 아마존의 킨들, 애플의 애플 북스, 구글 크롬 북스가 대표적이다. 알라딘도 '알라딘 전자책 뷰어'라는 자체 이펍을 보유했다.

그러나 연구자들이 97개의 이펍 소프트웨어를 직접 분석한 결과, 전체 응용 프로그램의 절반은 기초적인 보안 권장 사항도 준수하지 않은 것으로 나타났다. 마음만 먹는다면 해커가 악성 코드를 심은 전자책을 이펍 내부에 유포하거나, 심지어 다른 사람의 이펍 파일에서 다른 정보를 추출하는 것도 가능했다.

그렇다면 왜 이토록 취약한 전자책 업계에선 최근까지 대형 해킹 사건이 터지지 않았던 걸까. 아이러니하게도 그 이유는 '해커들이 그동안 이펍의 보안 취약성을 주목하지 않았기 때문'이다.

하지만 당시 연구자들은 "이렇게나 (이펍에) 취약점이 많이 있는 상태라면, 공격자들이 건드리지 않을 이유가 없다"며 "특히 이펍 앱이 설치되는 장비가 데이터를 대량으로 저장한 스마트폰, 태블릿이라는 걸 생각하면 더더욱 그렇다"라고 경고했다.

알라딘은 수사당국과 협력해 탈취된 파일이 불법 유포되는 정황을 모니터링하는 등 사태 수습에 총력을 기울이고 있다. 그러나 인터넷을 통해 신속한 유포가 가능한 e북 특성상, 신속히 사태를 해결하지 않으면 전자책 산업에 막대한 손해를 끼칠 수 있다는 우려가 나온다.

대한출판문화협회는 30일 성명을 내고 "(유출된) e북들은 향후 몇십 년간 유령처럼 떠돌아다닐 것이고, 상품으로서의 가치는 사실상 상실하게 될 것"이라며 "디지털 콘텐츠 특성상 사건 해결 속도가 생명이다. 알라딘은 사운을 걸고 이 사태를 조기에 수습하기를 요구한다"라고 촉구했다.

또 협회는 "e북 유통업체는 출판계의 요구를 성실하게 수용해 업계에 퍼져나가는 불안감을 잠재우는 데 나서주길 바란다"라고 덧붙였다.