고개 숙인 넥슨 “죄송하다는 말밖에...”

▲ 해킹 사건으로 고개숙인 넥슨
왼쪽부터 안인숙 커뮤니케이션 센터장, 신용석 CSO, 서민 대표

넥슨은 지난 25일 보도된 `메이플스토리` 1,320만 회원의 개인정보(이름, 주민등록번호, ID, 비밀번호)가 해킹/유출된 사건에 대해 오늘(28일) 긴급 기자간담회를 열고 입장 표명에 나섰다.

이번 `메이플스토리` 해킹은 지난 8월 일어난 네이트/싸이월드 사태에 이어 두 번째로 큰 규모의 정보 유출 사건이다. 해당 기사가 보도된 후 `메이플스토리` 공식 홈페이지는 해킹에 속수무책으로 넘어간 넥슨의 허술한 보안 정책을 질타하는 유저들의 불만/항의글이 폭주했으며, 일부 유저들은 인터넷 카페 등을 통해 집단 소송을 준비하는 움직임까지 보이고 있는 것으로 확인되었다.

현재 넥슨은 `주민등록번호와 비밀번호는 암호화 되어 있기 때문에 해킹을 해도 확인이 어렵다`, `게임 아이템 결제 정보(계좌번호 등)은 결제대행사를 거치고 있기 때문에 유출되지 않았다`, `메이플스토리 외 다른 게임의 회원 정보는 유출되지 않았다` 라고 답변했지만, 현재 정확한 피해규모와 원인 등이 확인되지 않고 있는 상황이라 유저들의 불안감은 쉽사리 사그러들 기미를 보이지 않고 있다.

이날 기자회견에서 넥슨의 서민 대표는 “이번 해킹사태로 인해 심려를 끼쳐드린 많은 분들께 깊이 사죄드린다. 죄송하다는 말밖에 드릴 말이 없다. 고객 여러분들께 추후 발생할 수 있을 추가 피해를 예방하기 위해 최대한의 조치를 취하고 있다. 더불어 본 사건에 대해 경찰 등 관계기관에 수사를 의뢰하였으며, 해킹의 전모를 파악하여 이러한 일이 다시는 일어나지 않게 하겠다.” 며 해킹 피해를 입은 고객들에게 사과의 뜻을 표했다.

이어 넥슨의 신용석 CSO(최고보안책임자)는 “지난 21일에 이상 징후를 발견하고 자체적인 조사에 착수, 24일에 1320만 건의 개인정보가 유출된 사실을 확인했으며 25일에 사용자 고지 후 경찰과 방통위 등에 신고했다.” 라고 사건 정황을 발표하고, 사후대책 방안과 향후 보안강화 전개 방향 등을 밝혔다.

▲ 넥슨 최고 보안 책임자(CSO) 신용석

먼저 이번 사태로 인한 추가 피해를 막기 위해 넥슨 유저들을 상대로 한 비밀번호 변경 캠페인을 적극적으로 진행할 것임을 밝혔다. 넥슨은 해킹 사실을 확인한 이후 주말 동안 유저들의 비밀번호 변경을 권장해 왔으나, 오늘(28일) 이후에는 참여율을 극대화 하기 위해 다양한 수단을 도입할 예정이다. 이번 비밀번호 변경 캠페인은 ‘메이플스토리’ 뿐 아니라 넥슨이 서비스하는 모든 게임이 동참한다. 이번 캠페인에 동참할 수 없는 휴면 계정에 대해서는 별도의 보호 시스템이 구축/적용되며, 필요 시에는 강제적인 비밀번호 변경도 강구될 예정이다.

또한, 신용석 CSO는 2012년 상반기 중에 넥슨 통합 멤버쉽 체계를 구축해 보안 등급을 강화할 예정이라고 밝혔다. 일단 2012년 1분기 내에 로그인 보안 강화 수단을 도입하고, 2분기까지 넥슨 통합 멤버십 체계를 구축하여 향후 발생할 수 있는 여러 가지 문제를 통합적으로 관리/해결할 수 있도록 한다는 것이다.

마지막으로 넥슨은 이번 사태를 계기로 고객들의 개인정보를 지키는 것이 가장 중요함을 인지. 정보보안에 대한 투자를 강화하겠다고 밝혔다. 넥슨은 CEO 직영의 보안책임자 CSO를 영입하고 글로벌 보안 체계인 ‘넥슨 글로벌 보안관제센터(가칭)의 구축/운용 계획을 세우고 있다. 넥슨은 현재 해당 시스템의 원활한 설립과 운용을 위해 보안 전문인력을 확충하고, 정보 보안에 대한 투자를 지속적으로 확대할 예정이다.

다음은 넥슨 서민 대표, 신용석 CSO, 안인숙 커뮤니케이션 센터장, 강신철 이사, 조성원 퍼블리싱 본부장과 가진 Q&A 전문이다.

▲ 오른쪽부터 왼쪽으로 넥슨 서민 대표, 신용석 CSO, 안인숙 커뮤니케이션 센터장, 강신철 이사, 조성원 퍼블리싱 본부장

10월경부터 이상 서버 지연이나 마비노기 해킹 등 이상 징후가 나타난 것으로 안다.

서민: 현재까지 확인된 것에 의하면 이번 메이플스토리 해킹과 관련된 다른 사건은 아직 발생된 바가 없다. 향후 발생할 만한 추가 피해에 대해서는 24시간 감시 체계를 풀 가동하여 최대한 막을 생각이다.

주민등록번호와 비밀번호는 암호화는 어느 정도인가?

서민: 해당 부분에 대해서는 현재 수사가 진행 중이기 때문에 자세히 말씀드리기가 곤란하다.

넥슨 통합 멤버쉽과 로그인 보안 강화는 어떤 방식?

신용석: 현재 로그인 방식에 추가적인 물리적 로그인 수단을 추가함으로써 해커 침입을 원천봉쇄할 수 있는 수단을 강구 중이다.

안인숙: 현재 준비 중인 넥슨 통합 멤버쉽은 넥슨포털 게임을 하나로 묶는 방식으로, 내년 상반기(4월 목표) 중에 도입할 예정이다.

서버 공격 시도가 14~17일부터 있었는데, 이를 알린 시간은 25일 밤이었다. 꽤나 늦은 대응으로 보이는데, 이에 대한 설명 부탁드린다.

서민: 전체적으로 경황이 없었기 때문에 커뮤니케이션이 원활하게 이루어지지 못했다. 자세한 사건 개요는 앞서 브리핑한 것과 같다.

피해 유저들에 대한 보상은 어떻게 진행되나?

안인숙: 이번 사건에 대해서는 경찰 수사가 진행 중이며, 내부적으로도 비상 체제에 들어갔다. 현재는 사태 수습에 최선을 다하고 있으며, 보상 부분에 대해서는 수사 결과가 나와야 말씀드릴 수 있을 것 같다. 수사 결과 넥슨 측의 부주의한 점이 확인된다면 그 부분에 대해서는 당연히 책임을 져야 한다고 생각한다.

예전 네이트/싸이월드 사건 당시 SK커뮤니케이션즈가 주민등록번호 등의 개인정보를 수집하지 않겠다고 했는데, 넥슨도 그러한 방향을 고려 중인지?

서민: 현재 규정과 여건 상 어쩔 수 없이 회원들의 개인정보를 보관해야 하는 것이 사실이다. 얼마 전부터 내부적으로 보관해야 할 개인정보를 줄일 수 있는 부분에 대해 다각도로 검토 중이다.

이번 해킹으로 인한 실제 피해 사례가 접수되었는가?

넥슨의 보안 강도와 규모는 다른 업체와 비교했을 때 어느 정도였나?

서민: 넥슨은 오래 전부터 해킹 공격을 지속적으로 받아 왔으며, 정보 보안 부분에 대한 투자와 지원을 아끼지 말아야 한다고 생각해왔다. 때문에 얼마 전에는 기존의 팀 단위 대응으로 충분치 않다는 판단을 했고, 최고 임원 레벨인 CSO를 신설, 그 산하에 글로벌 전체를 관할하는 보안센터를 구성했다.

자체적인 보안 대응 매뉴얼이 있었나?

신용석: 내부적인 긴급대응 매뉴얼은 가지고 있다. 넥슨에는 지금껏 많은 해킹 시도가 있어 왔으며, 보안 기술팀을 중심으로 해킹 시도에 대한 매뉴얼에 따라 계속적으로 대응해왔다. 이런 와중에 이번 사태가 일어나 매우 안타깝고 죄송스럽게 생각한다.

상장을 앞두고 있는 넥슨으로서, 이번 사건이 상장에 영향을 미치는 것은 아닌지?

서민: 상장 관련 사항에 대해서는 규정상 답변을 드릴 수 없다.

지금 메이플스토리에 적용된 보안 수준은 대략 몇 점 정도라고 생각하는가?

서민: 보안 수준을 수치나 점수로 환산하기는 쉽지 않다. 넥슨은 메이플스토리 뿐 아니라 자사가 서비스하는 모든 게임에 대해 가장 최신의 보안기술과 솔루션 장치를 도입하려는 노력을 해 왔으며, 메이플스토리 역시 넥슨이 할 수 있는 최선의 보안태세를 만들기 위해 노력했다.

저연령층 유저가 많은데, 이들의 비밀번호 변경 캠페인 참여율을 올릴 대안은 준비되어 있는가?

서민: 저연령 유저 뿐 아니라 모든 연령층의 유저들의 비밀번호 변경 캠페인 참여율을 극대화하기 위해, 게임 내에서 혜택을 주는 등 어떤 수단과 방법이라도 동원하겠다.

이번 해킹이 넥슨서버의 어떤 취약점을 파고든 것인가? 네이트 사태와 같은 부분이라는 얘기도 있는데.

서민: 이러한 해킹 사태는 종류나 방식이 너무나 다양해서 어떤 사례가 비슷하다고 말할 수 있는 것이 없다고 알고 있다. 정확하게는 백업 서버에 침입이 있었으며, 자세한 내용에 대해서는 너무나도 기술적인 내용이기에 정확히 말씀드리기가 어렵다. 현재 넥슨이 가장 최우선으로 삼고 있는 것은 혹시 있을 지 모르는 2차 유저 피해를 원천적으로 차단하는 것이며, 이와 함께 서버 자체의 보안 솔루션을 더욱 높여서 향후 개인정보 유출이 일어나지 않도록 하고 있다.

신용석: 이러한 해킹 공격은 끊임 없이 일어났으며, 대응 또한 계속적으로 해 왔다. 그 와중에 이러한 사태가 생겨서 유감스럽다.

유저들의 집단 소송 움직임이 보이고 있다. 어떻게 대응할 것인지?

안인숙: 일단 해킹 사건에 대한 사실관계가 확인된 이후, 이러한 부분에 대해서 모니터링/대응해 나갈 예정이다. 집단소송의 경우 충분히 있을 수 있는 부분이라고 보고 있으며, 수사 결과를 지켜보며 내부적으로 숙고해나가도록 하겠다.

넥슨이 해킹을 인지한 시점 이후 게임 내에서 현금 캐쉬 아이템 광고가 잠시 올라간 적이 있는데?

안인숙: 말씀하신대로 24일로 예정되었던 이벤트가 실행되었다가 취소된 적이 있다. 이 부분에 대해서는 부서간의 긴밀한 실시간 커뮤니케이션이 부족했기 때문이라고 생각한다.

자체 조사 결과를 보면 서버 내에서 2개의 악성코드가 발견되었다고 했는데, 이에 대한 자세한 설명을 듣고 싶다.

서민: 악성코드의 종류나 수량의 경우 현재 수사가 진행 중이다. 면밀한 조사를 위해 최대한 수사에 협조하고 전모가 밝혀질 수 있도록 노력하고 있다.

현재 발표된 것을 보면 실질적으로 이번 해킹 사건으로 인해 내놓은 대책은 없고 대부분이 원래 진행해오던 중장기적인 계획으로 보인다. 최고의 보안을 하고 있었지만 안타깝게 해킹당했다는 말로는 유저들을 납득시키기 어려울 것 같은데?

서민: 최고의 대응을 하고 있었다고 말하진 않았다. 앞서 설명한 내용 하나하나에 기술적인 내용이 포함되어 있는데, 이에 대한 자세한 설명은 다음에 설명드릴 기회가 있을 것 같다.