넥슨, ‘성장지상주의’가 禍를 불렀다
이미 예견된 ‘人災 ’ 성격 짙어…사후처리과정도 좀 더 지켜봐야 할 듯
게임계 뿐만 아니라 온 국민들을 충격 속에 빠뜨린 ‘메이플스토리’의 해킹사태가 이미 예견된 인재(人災)였다는 지적이 많다. 올 들어 네이트 해킹 등 대형 사건들이 잇따라 터졌음에도 불구하고 더 철저히 대비하지 못함으로써 화를 자초했다는 것이다.
특히 넥슨의 경우 최근 들어 서버가 다운되거나 장시간 게임 서비스를 중단하는 등 사전에 불안한 조짐이 있었음에도 불구하고 이를 간과함으로써 미연에 막을 수도 있었던 사고를 불러온 것 아니냐는 지적도 나오고 있다. 이러한 배경에는 내실을 기하기보다는 매출을 확대가 우선시되는 ‘성장주의’가 조직 내부에 팽배했기 때문이라는 분석이 지배적이다.
주말의 들뜬 분위기가 무르익어가는 지난달 25일 밤 9시 40분께. 방송통신위원회가 내놓은 보도자료는 출입기자는 물론 게임업계 관계자들을 깜짝 놀라게 할 만한 것이었다. 이는 국내 최대 게임기업인 넥슨의 개인정보 유출 사고 발생 관련 소식이었다.
방통위는 넥슨의 온라인게임인 ‘메이플스토리’의 백업 서버가 해킹돼 이용자 약 1320만명의 고객정보 중 이름, ID, 주민등록번호, 비밀번호가 유출된 것으로 보인다고 발표했다. 방통위에 따르면 넥슨은 이런 사실을 같은날 오후 5시경 방통위에 알리고 경찰청에 수사의뢰한 것으로 알려졌다.
# 유출 사태는 예고된 人災
게임업계에서는 이번 개인정보 유출 사태가 예고된 인재라는 인식이 강하다. 그동안 성장에만 몰두해온 넥슨(대표 서민)이 눈에 보이지 않지만 가장 중요한 고객 정보관리에 소홀히 함으로써 사건의 단초를 제공했다는 것이다.
넥슨의 이번 개인정보 유출 사고는 지능형 위험공격(APT)에 의한 것으로 밝혀졌다. 서버에 접근 가능한 내부 직원 PC를 통해 ‘메이플스토리’ 백업 서버에 악성코드 2개를 설치하는 방식으로 이뤄졌다. 직원 PC를 좀비화 시켜 침투한 점 등은 지난 7월 네이트 개인정보 유출과 비슷한 방식인 것으로 알려져 있다.
문제는 넥슨의 위기관리와 대처능력에 있다. 금융, 포털업계 못지않게 해커들의 주요 공격 대상이 되는 온라인 게임 업체임에도 이에 대한 대비와 투자는 게을리 했다는 정황이 포착된다. 네이트 사태가 터진지 불과 약 4개월 만에 비슷한 유형으로 발생했다는 점은 올들어 금융, 포털 업계에서 연이어 터지고 있는 개인정보 유출 사고에 대해 ‘강건너 불구경’식으로 대처했음을 단적으로 보여준다.
넥슨에 따르면 보안 관련 인력은 불과 30명에 불과하다. 이는 정규직만 50~100명에 이르는 보안 인력을 둔 여타의 인터넷 기업에 비교해 2800만명의 회원을 확보한 게임포털 업체치고는 다소 적은 숫자다. 여기에 넥슨은 보안인력은 물론 인터넷 기업에게는 필수 인력으로 꼽히는 최고보안책임자(CSO)를 최근에서야 확보했다. 이번 기자회견에서 모습을 드러낸 신용석 CSO는 지난달 입사한 것으로 알려져 있으며 넥슨의 첫 번째 CSO로 알려져 있다. 출범한지 15년된 우리나라 대표 온라인게임 회사라는 간판이 무색할 정도다.
이같은 보안관리와 서버 운용이 이미 예전부터 지적된 바 있다. 넥슨은 이번 해킹 사태에 앞서 서버 관리에 문제를 노출했기 때문이다.
넥슨은 지난 10월 4일 ‘마비노기’ 96시간 서버 점검으로 유저들의 원성을 산 바 있다. 또 불과 며칠이 지난 같은달 19일에는 ‘마비노기’ ‘마비노기영웅전’ ‘카트라이더’ ‘서든어택’ 등 15개 게임에 게임업계 사상 초유의 서버 중단 사태를 겪는 등 서버관리에 취약한 모습을 보였다.
그러나 넥슨측은 이같은 게임 서버 중단 사태에 대해 '사설 네트워크 서버의 스위치 불량(기기고장)으로 인해 일부 게임에서 접속 오류가 발생한 ‘단순 사고’라고 해명 했다. 업계에서는 ‘과도한 주말 이벤트로 인한 서버 노후화’나 ‘해커 공격’ 등의 설이 분분했지만 단순사고로 일축, 불과 한달여 만에 대형사고를 야기한 셈이 됐다.
# 책임회피에 ‘급급’
해킹 사건이 발생한 이후 넥슨이 취한 대응에도 문제점이 노출되고 있다. 넥슨은 지난달 28일 긴급 기자회견을 열고 이번 개인정보 유출에 대한 입장과 향후 방안을 발표했다. 이미 주말 사이 각 매체에서 주요 이슈로 다룬데다 각종 인터넷 포털 사이트에서는 관련 검색어가 1위에 오르고 유저들의 항의가 빗발친 이후에 나온 공식 대응이었다.
서민 넥슨 대표는 이날 “최종 책임자로서 깊이 책임을 통감한다”며 “범인을 조속히 검거하기 위해 최대한 수사 협조하겠으며 재발 방지를 위해 노력할 것”이라고 말했다.
하지만 이날 넥슨의 입장은 책임회피에 급급하는 모습이 역력했다. 서 대표는 이날 개인정보 유출 과정을 자세히 설명하지 않은 채 ‘죄송하다’는 말만 되풀이했다. 또 해킹의 원인과 피해규모, 보상대책 등에 대해서는 ‘경찰 수사 중’을 이유로 들며 원론적인 답변을 반복하는 수준이었다.
넥슨은 이날 향후 대책으로 ▲비밀번호 변경 캠페인 확대 실시 ▲휴면계정 보호 시스템 구축 및 즉시 적용 ▲넥슨 통합 멤버십 체계 구축 ▲글로벌 관제 센터 구축 등 정보 보안에 대한 투자강화 등의 방안을 제시했다.
그러나 이같은 대책은 이미 추진하고 있거나 구체적인 내용이 없는 추상적인 내용들이 대부분이었다. 회원들의 피해를 최소화 할 수 있는 주민등록번호 데이터베이스 삭제와 같은 강도 높은 방안에 대해서는 아이템 구매 등으로 개인정보를 수집, 보관해야 하는 상황 때문에 곤란하다는 입장을 나타냈다.
넥슨의 이런 입장은 1320만명의 개인정보 유출이라는 게임업계 초유의 사태를 야기했음에도 자사 이익에 해가 가는 대응은 하지 않겠다는 것과 다름없다. 상당수 게임업계 관계자들은 이날 넥슨의 대응에 대해 “그동안 이익 최대화와 성장 위주를 최우선으로 삼았던 넥슨의 기조를 바꾸지 않겠다는 것으로 해석된다”고 입을 모았다.
이날 서 대표가 향후 대응으로 내놓은 방안은 이를 잘 보여주는 대목이다. 서 대표는 이번 개인정보 유출 사태에 대응하기 위해 내놓은 비밀번호 변경 캠페인 확대 실시 차원에서 “개인정보가 유출된 메이플스토리 청소년 회원들이 비밀번호를 바꾸면 게임아이템을 선물하겠다”고 밝혔다. 이는 미성년이 대부분인 회원들에게 사태의 심각성을 가리고 본질을 흐리겠다는 의도로 보인다.
이에 각종 온라인 게시판에는 “해킹당한 게 무슨 이벤트냐?” “유저들의 개인정보 유출 피해를 아이템주며 달래는 꼴”이라는 성토가 일었다.
# 향후 대처에도 회의적 반응
넥슨은 향후 2차 피해를 방지하고 보안을 강화하겠다고 밝혔으나 이를 보는 외부의 시선은 회의적이다. 서 대표는 이번 사태를 계기로 글로벌 관제센터와 보안인력 강화 등을 구축하겠다고 말했으나 구체적인 인력 수급 계획과 비용 등에 관한 언급은 하지 않았다.
전문가들은 기업들이 IT 예산에 대한 집중 투자가 무엇보다 중요하다고 지적하고 있다. 특히 인터넷 기업의 경우 이같은 투자를 기반으로 사업을 수행하는 것은 매우 중요한 것으로 인식하고 있다.
임종인 고려대 정보보호대학원장은 “정보보호와 관련된 부분에서 10% 정도를 투자해야 한다”며 “인재를 양성하고 운용할 수 있는 시스템을 갖추는 것이 매우 중요하다”고 밝혔다.
그러나 업계에서는 이익 창출 이외에는 아무런 관심을 보이지 않은 넥슨이 대형사고를 겪고도 인식전환이 되지 않았다고 보고 있다. 넥슨은 그동안 시설 투자나 사회공헌 등 기업 기반과 이미지 창출에 대한 투자가 인색한 것으로 유명하다.
넥슨은 내부에서 해킹을 최종적으로 확인한 지난달 24일에도 ‘PC방 정기 이벤트’를 실시한 바 있다. 서 대표는 이에 대해 “부서간 커뮤니케이션이 부족했다”고 해명했으나 대형사고가 발생했음에도 이익창출을 포기하지 않는 넥슨의 면면을 보여주는 대표적인 사례로 꼽힌다.
이 때문에 향후 유저들의 피해보상 등에도 미온적인 태도로 일관할 것이라는 것이 업계의 시각이다. 현재 메이플스토리 유저들은 집단소송 제기 움직임도 보이고 있다. 그러나 서 대표는 “수사 결과가 나온 후에 보상을 하겠다”며 “우리 회사가 잘못하고 부족한 부분이 확인이 되면 당연히 그 부분에서 책임을 지겠다”는 모호한 태도로 보였다.
외국의 경우 이같은 사태가 발생하면 회사가 위기에 몰릴 정도로 이미지에 손상을 입게 된다. 그러나 업계에서는 넥슨 유저의 대부분이 저연령인 점 등을 들어 실질적인 타격이 적으며 집단소송 움직임 역시 실질적인 효과를 보기 어렵다고 보고 있다. 게임업체 한 관계자는 “소송을 제기할 경우 배상금 규모가 크지 않아 실효성이 크지 않을 것”이라며 “문제는 넥슨 유저들이 소비자 의식을 갖추지 못한 저연령 층이기 때문에 넥슨 역시 배상 문제에 우호적이지는 않을 것으로 전망된다”고 말했다.
[더게임스 김윤겸 기자 gemi@thegames.co.kr]
<관련기사 4면, 6~8면>