원인·피해규모 밝혀진 건 아무것도 없다

테러센터, 디도스 공격 등 현안에 밀려 뒷전…넥슨도 급할것 없다 ‘강 건너 불보듯’

게임계를 발칵 뒤집어 놓은 넥슨의 ‘메이플스토리 해킹’ 사태가 발생한 지 한 달이 지났지만 원인과 피해규모 등 아무것도 밝혀진 게 없이 허송세월만 보낸 것으로 드러났다.

이 사건을 접수받은 방송통신위원회나 수사에 나선 경찰청 사이버테러대응센터는 선관위 디도스 공격이 벌어지면서 모든 관심과 수사력을 그쪽으로 집중, 넥슨이 관심권에서 멀어졌기 때문이다. 당사자인 넥슨 역시 ‘수사결과를 지켜보겠다’는 입장만 되풀이 할 뿐 ‘강 건너 불구경’ 하듯 아무런 움직임도 보이지 않고 있어 업계의 비난을 사고 있다.

넥슨(대표 서민)에서 ‘메이플스토리’의 해킹이 발생한 것은 지난 달 18일 경인 것으로 알려졌다. 넥슨은 지난달 21일 정기점검 과정에서 이상 징후를 발견하고 24일 해킹 사실을 최종확인 하고 다음날인 25일 오후 5시 방송통신위원회와 경찰청 사이버대응테러센터에 해킹 사실을 알렸다. 이처럼 해킹 발생 이후 한 달이 지났지만 경찰은 아직 중간 수사결과 조차 발표하지 않고 있다.

이는 지난 7월 발생한 네이트 해킹 사건과 비교했을 때 상당히 늦어지고 있는 것이다. 이 사건의 경우 SK커뮤니케이션즈가 지난 7월 28일 해킹 사실을 발표한 후 2주가 지난 8월 11일 중간수사 결과가 발표됐다.

당시 경찰은 해킹 침입 경로와 유출 경로, 피해 상황을 상세히 밝혔다. 이날 발표에서 해커가 SK컴즈를 대상으로 집중 공격해 가입자 3500만명의 개인정보를 유출한 사실을 공식화했다. 그러나 현재 넥슨 해킹 사건에 대한 어떠한 수사 내용도 알려진 바가 없다.

# 왜 진전이 없나

넥슨 해킹 수사 결과가 늦어지고 있는 직접적인 이유는 최근 불거진 10·26 재보선 중앙선거관리위원회 홈페이지 디도스 공격에 대한 수사로 인해 넥슨 해킹 수사가 뒤로 밀렸기 때문인 것으로 알려졌다.

경찰 관계자는 “지금까지 선관위 디도스 공격에 대한 수사가 넥슨 해킹 사건보다 더욱 급한 상황이었다”며 “선관위 디도스 공격 관련 수사 쪽으로 인력이 몰렸다”고 말했다. 그는 이어 “지난주 선관위 디도스 공격 수사를 마무리했고 앞으로 네이트 해킹 사건과 넥슨 해킹 사건에 수사 인력을 추가적으로 재배치할 것”이라며 “넥슨 해킹 사건 이후 넥슨 수사팀을 따로 구성해 수사를 진행 중에 있었다”고 강조했다.

경찰은 현재 ‘메이플’ 해킹에 대해 악성 코드 유포 경위와 유출 경로, 침입 경로 등 세가지 측면에서 수사 진행 중이다. 경찰 관계자는 “어디서부터 감염됐는지와 좀비 PC를 통해 내부 데이터베이스(DB)에 침입한 흔적을 찾고 있는 중”이라며 “2차 해킹 역시 있었을 것으로 보고 있다”고 밝혔다.

일부에서는 넥슨이 이번 해킹 관련해 대응이 너무 늦어 해커들이 자신들의 흔적을 지워버림으로써 경찰이 수사하는데 어려움을 겪는 것이 아니냐는 의견이 있다. 지난 달 18일 해킹이 시도되고 난 후 24일까지 넥슨은 무방비 상태였을 가능성이 높다는 것이다. 해커가 그동안 충분히 자신의 흔적을 지울 수 있을 것이란 얘기다. 이에 대해 보안업체 한 관계자는 “가능성이 없는 것은 아니지만 7일 만에 자신의 흔적을 지우는 것이 쉬운 일은 아니다”라고 밝혔다.

# 세 가지 의혹이 핵심

이번 수사 결과 발표가 늦어짐에 따라 업계에서는 넥슨 해킹 사건이 장기화 혹은 미궁으로 빠지는 것이 아니냐는 우려의 목소리가 나오고 있다.

경찰 측은 이에 대해 “일단 수사 결과가 나와봐야 알 수 있다”며 즉답을 피했다. 보안 관계자들도 말을 아끼는 입장이다. 한 보안 관계자는 “넥슨 수사 결과가 나오기 전까지는 넥슨 해킹과 관련해 언급을 하지 말 것을 윗선에서 지시받았다”고 말했다.

이번 해킹 사건은 크게 3가지 의혹이 일고 있다. 첫째는 넥슨이 지난 달 18일 해킹 발생 후 3일이 지나 흔적을 발견했다고 밝혔는데 그동안 정말 넥슨은 몰랐을까하는 것이다. 혹시 넥슨 측이 시간을 벌며 사건을 은폐하려고 했던 것은 아닌가하는 의혹이 제기되고 있다.

넥슨 측에 따르면 18일 해킹이 일어났고 일주일 뒤인 24일이 돼서야 해킹을 확인 발견했다. 넥슨은 다음날 오후 5시 해킹을 당했다는 사실을 방송통신위원회와 경찰청 사이버대응테러센터에 신고했다.

보안 관계자는 “보안 관리를 철저히 해도 최근 해킹 방법에는 속수무책으로 당할 수 밖에 없다”며 “넥슨 역시 보안에 신경을 썼겠지만 해킹 사실 자체를 늦게 파악할 수도 있었을 것”이라고 밝혔다.

두 번째 의혹은 해킹 발생 인지 시점인 21일과 해킹 신고 시점인 25일 오후 5시 동안 넥슨 이 무엇을 했는지가 의문점으로 남는다. 과연 지체 없이 신고했는지에 대한 의혹이다.

개인정보보호법 제 34조에는 개인정보가 유출됐음을 알게 됐을 때 지체 없이 해당 정보주체에게 알려야 한다고 명시돼 있다. 업계에서는 하루라는 시간은 결코 짧은 시간이 아니라며 이 시간 동안 넥슨에서 사태를 은폐 혹은 축소하려 하지는 않았는지 철저히 조사해 봐야 할 것이라고 주문했다.

보안 업체 한 관계자는 “현재 개인정보보호법에서는 ‘지체없이’란 단어에 대해 구체적인 내용이 포함돼 있지 않아 논란이 된다”고 말했다.

보안 관계자는 또 “보통 수사 기관이 해커 공격 시작 시점이나 로그 분석 기록을 공개하지 않기 때문에 넥슨이 개인정보보호법을 위반했는지 여부를 판단하기는 쉽지 않을 것”이라고 예상했다.

세 번째 의혹은 백업 서버 관리를 부실하게 하지 않았나 하는 점이다. 백업 서버는 회사에서 중요한 시스템이 아니기 때문에 소홀히 다룰 수 있는 여지가 충분히 있다는 것이다. 그러나 넥슨이 백업 서버를 허술하게 관리했다는 점을 입증하기는 상당히 힘들다는 것이 전문가들의 분석이다. 또 허술하게 관리했다는 것을 알아낸다고 해도 이를 근거로 처벌할 만한 마땅한 조항도 없는 것으로 알려졌다. 이 때문에 넥슨의 경우 법적인 책임 보다는 도덕적인 책임을 더 강조하는 수 밖에 없다는 것이다.  

# 넥슨 미온적 대응 도마 위에

넥슨은 해킹 사건이 발생한 이후 공식 기자회견을 한 차례 갖고 ‘메이플스토리’ 내에서 아이템을 선물하는 이벤트를 진행하는 등의 행동 이후에는 이렇다 할 움직임을 보이지 않고 있다. 오히려 일본에서 진행된 넥슨재팬의 자스닥 상장에 더 많은 관심이 쏟는 모습을 보였다.

여기에 선관위에 대한 디도스 공격 사건이 터지면서 ‘메이플’ 해킹에 대한 관심도 그쪽으로  쏠리는 등 상황이 넥슨측에 유리하게 돌아가고 있어 안도하는 분위기다. 이같은 넥슨의 태도에 대해 업계에서는 너무 안이하게 대응하는 것 아니냐는 지적이 나오고 있다.

게임업계에서는 처음으로 발생한 대규모 해킹인 데다가 업체 1위 업체인 넥슨이 속수무책으로 당했다는 것은 매우 불행한 사태인데도 이를 심각하게 받아들이지 않고 있다는 것이다.

한번의 기자회견으로 끝낼 것이 아니라 적극적인 해명과 사태해결 노력을 기울여야 유저 뿐만 아니라 일반 시민들의 인식도 달라질 수 있을 것이라고 지적하고 있다. 

 한편 해킹 사건이 발생한지 한 달이 지난 지금 업계에서는 자체 점검을 실시하고 비밀번호 변경 캠페인을 지속적으로 진행하는 등 바짝 긴장한 모습을 보이고 있다.

업계 관계자는 “보안과 관련한 특별한 대책을 세우는 것은 아니지만 관련 기술을 보완하고 이상 징후 체크 시간을 좀 더 타이트하게 하는 등 예전보다 각별한 주의를 하고 있다”고 밝혔다.

또 다른 업계 관계자는 “모니터링을 강화하고 해킹이 될 만한 경로를 검사하고 있다”며 “해킹 당했을 때 어떻게 대처할 것인지에 대한 시나리오 역시 점검 중”이라고 밝혔다. 그는 또 “이번 넥슨 해킹 사건의 경우 해커가 관리자 PC를 통해 백업 PC로 침투한 것으로 알려졌기 때문에 백업 PC 강화 방안을 마련하고 있다”고 밝혔다.

그러나 이러한 움직임이 근본적인 개선책을 마련한다기 보다는 반짝 관심에 그칠 가능성이 더 커 보인다. 보안 업계 한 관계자는 “국내 기업 정서상 보안은 부차적인 문제로 인식하기 때문에 해킹 사건이 날 때만 집중 점검에 들어갈 뿐 해킹 사건이 잠잠해지면 보안에 대한 투자는 미미하다”고 말했다.

[더게임스 김성현 기자 ksh88@thegames.co.kr]

<관련기사 4면>