주메뉴바로가기본문바로가기
비즈한국 비즈한국

緊急排查
駭客攻擊頻發,四大線上書店的安全現狀調查

本文由AI自動翻譯。與韓語原文相比可能存在誤差。  Read original in Korean →

[비즈한국] 隨著YES24053280陷入癱瘓等事件發生,國內主要書店及電子書平臺頻頻遭受駭客攻擊,引發了業界對其安全能力的擔憂。早在2023年Aladin電子書洩露事件時,業界安全體系的脆弱性及其改進必要性就已引發關注。

與過去以線下為主的模式不同,隨著電子書流通和線上銷售比重的擴大,行業對數字化的依賴程度大幅提高。與此同時,網路威脅不斷升級、雲與伺服器環境日趨複雜,加之內部系統的安全盲點等因素疊加,資訊保安已成為技術運營的基石及企業經營的核心風險。本文將深入排查書店行業資訊保安體系的現狀。

國內最大線上書店YES24因勒索軟體攻擊導致“癱瘓”,業界的安全防禦能力備受爭議。圖為16日上午位於首爾永登浦區的YES24總部。照片=樸正勳 記者
國內最大線上書店YES24因勒索軟體攻擊導致“癱瘓”,業界的安全防禦能力備受爭議。圖為16日上午位於首爾永登浦區的YES24總部。照片=樸正勳 記者

近期,YES24因勒索軟體攻擊導致網站癱瘓長達五天。官網與APP無法訪問、電子書下載及票務預訂等線上服務被迫中斷,線下門店的圖書查詢及部分商品支付也受到波及,這使得其技術基礎設施及安全應對能力遭到質疑。儘管公司已釋出包括向全體會員發放5000韓元禮券在內的第一、二期補償方案,進入善後階段,但這距離Aladin發生大規模電子書洩露事件僅過去兩年,再次引發了業內對安全體系根本性問題的思考。

BizHankook以營收、企業規模及市場佔有率為標準,針對國內主要書店及電子書平臺——教保文庫、YES24、Aladin、Ridi四家企業的資訊保護現狀進行了諮詢。四家企業均表示正透過擴大投資來加強安全能力,但在資訊保護組織架構及CISO(首席資訊保安官)運營方式上存在差異。

僅教保文庫與YES24設有資訊保護專職組織

在教保文庫、YES24、Aladin和Ridi四家公司中,僅教保文庫和YES24設有專門的資訊保護部門。教保文庫於2015年成立資訊保安組,隨後擴編為資訊保安室並運營至今。YES24表示已設立與系統運營業務分離的專職資訊保護部門,但具體的組織架構尚未明確。相比之下,Aladin和Ridi目前並未運營獨立的資訊保安部門。

衡量資訊保安能力的指標主要包括專職人員配置、投資規模、CISO指定與運營情況,以及相關安全認證。這些是客觀評價企業資訊保安管理能力的基礎,也是法律規定必須進行資訊保護披露的企業所需提交的專案。

雖然四家企業均指定了負責統籌資訊保護工作的CISO,但在是否兼任其他職務方面存在分歧。Ridi由技術長(CTO)直接領導CISO開展安全工作。儘管從外表看沒有單獨的部門,但其解釋稱,公司透過以非兼職的安全專員為中心,制定並執行內部安全政策,從而執行資訊保護體系。Ridi方面表示:“我們已配置專業人員負責相關業務,並在必要時與外部專業機構合作。”

綜合安全組織與CISO運營情況來看,教保文庫在安全保障與人員配置方面結構最為嚴謹。教保文庫的CISO由資訊保安室室長擔任,這種體系較好地確保了安全政策的獨立性與專業性。

據韓國網際網路振興院(KISA)資訊保護公示門戶顯示,YES24的CISO兼任CPO(首席個人資訊保護官)。作為符合營收條件且需強制披露資訊的上市公司,YES24是四家中唯一有強制披露義務的企業。雖然CISO與CPO職能相近,在大企業中也常有整合運營的案例,但批評者認為,這種做法過度追求效率,可能導致責任歸屬不明。

CISO是否兼職是衡量企業安全能力的實質指標之一。若兼任其他職務,通常會被認為難以投入足夠資源,從而在政策制定、風險應對及控制方面產生侷限。這也是為何在達到一定規模(如資產總額5萬億韓元以上)的資訊通訊企業中,嚴禁內部CISO兼職的原因。不過,YES24尚未達到強制禁止兼職的標準。

Aladin表示,目前安全工作由負責網頁基礎設施的開發團隊和審計組織分擔。即由開發團隊負責技術實務,審計組織負責安全政策、規定及內部控制相關業務。CISO由公司內部董事兼任。

四家企業中,教保文庫和Ridi已獲得資訊保護管理體系(ISMS-P)認證,YES24也獲得了資訊保護及個人資訊保護管理體系(ISMS-P)認證。Aladin在KISA認證查詢中,僅顯示有效期至2023年11月的記錄,目前尚未確認其是否已重新獲得認證。ISMS是將企業或組織為保護資訊資產而建立、管理、運營的綜合體系,與個人資訊保護要求整合後形成的認證制度。

協商機制流產…協作失敗導致網路風險加劇

四家企業均強調正在加大資訊保護投入。其中,只有教保文庫和YES24公開了具體的年度資訊保護投資佔比或實際金額。據教保文庫透露,今年其資訊保護投資佔IT總投資的比例為6.7%,比去年的5.0%增加了1.7個百分點。根據YES24的資訊保護公示,去年其投入約12.69億韓元,佔IT總投資的9.2%。其三年投資走勢分別為:2022年11.03億韓元(佔IT投資的9.2%)、2023年9.47億韓元(5.1%)。

Aladin相關人士表示:“雖然難以透露具體投資額或佔比,但近三年來我們在安全領域投入了大量預算。”Ridi相關人士也表示:“隨著安全責任感增強,我們正持續加大投入。今年下半年已規劃好用於強化安全系統的預算。”

也有業內人士表示,“很難明確界定哪些是資訊保護預算,哪些是通用IT基礎開支,因此難以公開相關數字。”這一觀點反映出,由於強制披露要求僅針對特定企業,出版及書店行業內部的安全應對體系成熟度存在較大偏差,尚未實現標準化。

書店行業正透過技術手段和提高內部意識等多方面開展安全行動。照片=Pixabay
書店行業正透過技術手段和提高內部意識等多方面開展安全行動。照片=Pixabay
本文由AI自動翻譯。與韓語原文相比可能存在誤差。
긴급점검
  • 【緊急排查】駭客攻擊頻發,四大線上書店的安全現狀調查
    【緊急排查】駭客攻擊頻發,四大線上書店的安全現狀調查
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지