넥슨의 해킹문제... 그리고 그 심각성..

지난 11월 26일, 세상에 알려진 넥슨 메이플스토리 사용자 계정 해킹사건과 관련해 넥슨코리아가 11월28일, 긴급기자회견을 열었다.  신용석 넥슨코리아 최고보안책임자(CSO)는 “이번 해킹 사태로 발생할 수 있는 모든 2차 피해가 발생하는 것을 방지하는 데 온 힘을 다할 것이며.. 재발 방지에 힘쓰겠다”라고 말하며 고개를 숙이는 것으로 기자회견을 시작했다.

우선 넥슨이 서비스하고 있는 메이플스토리 사용자 계정이 털린 경로가 주요 관심사다. 넥슨쪽은 넥슨 내부에 있는 PC에 악성코드가 심어진 후... 이를 통해 해커가 메이플스토리 사용자 계정정보가 담긴 서버에 침투한 것으로 보고 있다. 넥슨 직원이 쓰는 PC가 해커와 서버 사이에 다리 역할을 했다는 설명이다.

넥슨 관계자는 아직 경찰과 함께 경로를 파악하는 중이지만, 해커가 넥슨 내부 PC를 통해 서버에 침투한 것으로 보고 있다. 라며 아직 넥슨 내부의 어떤 PC인지 해킹과 관련해 내부 직원의 직접적인 행동이 있었는지는 파악되지 않았다”라고 설명했다.





그렇다면 이번 해킹사건은 누구의 소행일까.. 넥슨쪽은 서버에 침투해 사용자 정보를 쓸어간 해커의 아이피가 한국 IP인 것으로 파악했다.. 하지만 IP 위치가 국내라고 해서 국내 해커의 소행이라고 단정지을 수는 없다. IP 정보는 얼마든지 세탁할 수 있기 때문이다.

넥슨 관계자는 침입에 이용된 아이피 주소가 한국주소인 것을 확인했지만 국내 해커의 소행인지는 확실하지 않다..라고 설명했다. 넥슨은 지난 주말부터 경찰과 함께 정확한 해킹 경로와 목적 및 해킹에 이용된 수법 등을 수사 중이다.  언제 수사 결과가 나올지는 알 수 없는 상황이다.

한편.. 넥슨은 이날 기자간담회를 통해 앞으로 사용자 계정을 관리하는 방법을 대대적으로 수정할 계획이라고 밝혔다.  우선 급한 불부터 끈다는 입장이다.. 넥슨은 28일 오후부터 메이플스토리나 마비노기, 던전앤파이터 등 넥슨이 서비스하는 주요 온라인 게임을 대상으로 비밀번호 변경 캠페인을 벌인다. 강제성은 없지만, 비밀번호를 바꾸는 사용자에 아이템을 지급하는 등 적극적으로 캠페인을 펼칠 계획이다. 이 같은 비밀번호 변경 캠페인은 앞으로 넥슨이 서비스하고 있는 모든 게임으로 확대될 예정이다.

[기사출처] 블로터닷넷 / 오원석기자
[기사전문] http://www.bloter.net/archives/85694


[야메군's thinking]
얼마 전 발생한 넥슨 메이플 스토리 계정의 해킹사태는 아마도 해커와 넥슨 측의 금전적인 협상과정이 잘 이루어지지 않아, 해커나 넥슨 중 한 곳이 제보한 게 아닐까 생각되며, 심증 상 해커 쪽이 아닐까하는 보여집니다.. 이번사태의 근본적인 문제는 해킹 자체에 있겠으나 수많은 실효정보를 가지고 있는 업체 측의 허술한 보안관리도 문제가 아닐까 생각될만큼 국내 IT 업체들의 보안 불감증은 정말 큰 문제가 아닐 수 없습니다.

저 역시도 근 11년 정도를 IT 계열 회사에서 근무하고 있습니다만, 직원 PC에 대한 철저한 통제가 이루어지지 않는 것이 대부분이며, 간혹 어느 한 직원 컴퓨터의 바이러스 감염에 따라.. 같이 물려있는 모든 사내 컴퓨터에 바이러스가 퍼진 경우도 심심치 않게 보아왔습니다. 이러한 부분들은 회사에서 사내 지속적인 보안교육을 통해 보안 불감증에 대한 부분을 강화해 나갈 필요가 있으며, 취약한 보안문제가 발생하고 피해가 발생했을 때, 그에 대한 책임을 따지게 하는 것과 같은 조치를 통해 직원 개개인에게 보안문제에 대한 경각심을 부여해야 합니다.

그런데.... 엄밀히 이번 해킹의 원인은 회사직원의 보안불감증에서 비롯된 일일텐데.. 과연 넥슨에서 어떤 책임있는 조치를 취할까요...  캠페인이다 뭐다해서 비밀번호를 바꾸고자 하는 노력을 한다고 하지만, 많은 수의 사람들이 동일한 아이디와 비밀번호를 사용한다고 했을 때, 넥슨 자체의 계정을 바꾸는 것만이 아닌.. 사용중인 모든 계정을 바꿔야하는 개인의 시간적인 손해에 대해서는 어찌 보상할까요?

옥션 사태도 그렇고.. 네이트온 사태도 그렇고.. 이 같은 해킹 사건들이 발생했을 때, 국내 법원의 판결은 늘 업체쪽에 손을 들어줬던 것 같은데.. 넥슨 뿐만 아니라 대부분의 해킹문제들 역시, 직원들의 과실에 의해 발생했을텐데 왜 개인정보보호 책임을 소홀히 한 회사 측의 과실은 인정하지 않는 걸까요?

그리고, 개인정보가 분실되었을 때, 그에 대한 손해의 책임을 왜, 사용자가 입증해야 하는 걸까요??  개인정보의 유출에 따른 잠재적인 피해에 대해 왜 심각하게 고려하지 않는걸까요...  이번 사태에 따라.. 분명 사용자 클레임이 발생할테고, 그에 따른 민사소송도 진행될 것으로 예상되는데, 이번부터라도 개인정보를 다루는 회사에 대한 책임 소지가 보다 중하고.. 무겁게 다뤄져야 하며, 그로 인해 발생하는 사용자 피해에 대해 보다 명확한 보상이 이루어지길 희망합니다... 

 

야메군. 36세. 웹기획 13년차로 네이버 웹기획자 커뮤니티 "웹(WWW)를 만드는 사람들"에서 운영진으로 활동하고 있으며, 딴지일보를 시작으로 아이러브스쿨, 짱공유닷컴, YES24 등의 회사를 거쳐, 현재는 민간 IT 원천기술 연구소 "Valhalla Lab"에서 Machine learning과 Natural Language Processing 기술의 상업적 이용방법에 대해 연구하고 있으며, 기획자의 업무능력 향상으로 위한 Guide Book 출간 준비 중.	yamestyle