[커버스토리] 넥슨 해킹 수사 어디까지
[커버스토리] 넥슨 해킹 수사 어디까지
  • 편집부
  • 승인 2011.12.20 16:42
  • 댓글 0
이 기사를 공유합니다

 

관계자 소환 조사 등 ?도 높은 수사 ‘실종’

 

고도화된 전문조직 소행 추정…법 보다 도덕적 책임 더 크다

 

넥슨의 ‘메이플스토리’ 해킹이 발생한 지 한달, 그리고 수사가 시작된 지 3주가 지났다. 현재까지는 경찰청과 방송통신위원회(방통위) 어디에서도 중간수사나 조사결과를 밝히지 않고 있다.


경찰청과 방통위는 그동안 개인정보유출과 관련된 넥슨 관계자들을 소환하고 본사에 파견 조사를 나가는 등의 활동을 진행한 것으로 알려지고 있다. 하지만 선관위에 대한 디도스 공격 등 현안에 밀려 수사가 잠정 중단된 상태다.

 

해킹 사건의 수사를 전담하고 있는 경찰청 사이버테러대응센터는 지난달 27일 주말을 이용해 넥슨 내부 관계자들을 소환 조사해 사건 경위를 파악했다. 소환된 사람들은 주로 개인정보 담당자와 회원들의 개인정보 데이터베이스에 접근 권한을 가진 관리자들이었다.


경찰의 수사를 지켜보고 있는 보안업계에서는 이번 넥슨 해킹 사건의 범인을 검거하기가 쉽지 않을 것으로 내다보고 있다.


익명을 요구한 한 보안업계 관계자는 “일반적으로 해킹 사건이 벌어졌을 때, 해커를 찾는 일도 간단치 않다. 이번 넥슨 메이플스토리처럼 1320만명의 개인정보롤 빼낸 범인을 잡는 일은 거의 불가능에 가깝다. 설사 찾는다 해도 엄청난 인력과 노력을 필요로 한다”고 말했다. 이 관계자는 ‘메이플스토리’를 해킹한 해커는 개인이 아닌 집단일 가능성이 높다고 추측했다. 또 오랜 기간 치밀하게 범죄를 준비했으며 내부 정보를 잘 알고 있는 사람일 가능성이 높다고  예상했다.


복수의 관계자들은 ‘메이플스토리’ 해킹 사건이 국내가 아닌 해외에서 이루어졌을 가능성도 배제하기 어렵다고 보고 있다. 이 경우, 범인을 색출하기는 사실상 어려울 것으로 보인다. 업계 한 관계자는 “해외에서 해킹을 했다면 사실상 해커를 찾는 일은 어렵다고 봐야 한다”고 밝혔다.


실제로 지난 7월 말에 발생한 3500만명의 네이트 해킹사건의 경우 약 2주 뒤에 해킹이 보안업체 이스트소프트의 공개용 ‘알집’ 서버를 이용한 중국에서의 공격으로 추정된다는 경찰의 중간 수사결과가 나왔다. 하지만 4개월이 지난 지금까지 최종 결과는 나오지 않고 있다.


이에 대해 정석화 사이버테러대응센터 수사실장은 “넥슨 DB 유출 경로와 악성코드가 침입한 경로를 집중적으로 조사하고 있다”며 “빠르면 이달 중순 쯤 중간 수사결과를 발표할 것”이라고 말했다. 경찰은 넥슨이 정보통신망법상 개인정보 유출 방지를 위한 보안장비 설치 및 암호화 등 관리적·기술적 보호조치 의무를 위반했는지 여부 등에 대해서도 수사를 진행 중이다.


경찰과 달리 방송통신위원회도 넥슨의 해킹 사고 원인 및 대응 방법에 중점을 두고 조사 중이다. 방통위 개인정보보호과 관계자는 “넥슨이 개인정보보호법을 위반 했는지 여부와 해킹 사고 이후 재발방지를 위한 보안책이 어떻게 되는지 조사하고 있다”고 말했다.


방통위는 또 넥슨이 지난 9월에 시행된 개인정보보호법 개정안을 제대로 지켰는지도 조사하고 있다. 개인정보보호법이 개정되며 보안사고 발생 후 지체 없이 신고해야 한다. 따라서 넥슨의 위배 사실이 인정될 경우 개인정보보호법 시행 이후 처음으로 적용되는 불명예의 주인공이 될 전망이다.


실제로 넥슨은 지난 25일 해킹 사실을 공식적으로 밝혔지만 해킹 사건 발생일은 18일이었다. 넥슨은 21일에야 해킹 사실을 처음으로 감지했고 최종 확인을 거쳐 나흘 뒤에 회원들에게 이를 공지하고 정부에 신고했다. 즉 해킹 사건 일주일만에 공식적인 입장을 밝혀 ‘알면서도 내부적으로 해결하려고 공지를 미뤘던 것 아니냐’는 의혹을 불러일으켰다.


이에 대해 넥슨 측은 지난 28일 해킹 관련 기자간담회를 열고 “해킹 사실을 최대한 빨리 밝히려고 했다”며 “해킹 범인 구속을 위해 경찰 수사에 적극적으로 협조하겠다”는 무책임한 발언으로 일관했다.


전문가들은 방통위가 넥슨을 조사중이지만 책임 여부와 무관하게 실질적인 처벌은 쉽지 않을 것으로 보고 있다. 복수의 관계자에 따르면 방통위는 법적인 최소한의 보안 규정을 지켰는지 여부를 조사할 뿐 그 이상의 피해자 구제 및 금전적 보상에 대한 책임을 묻기는 어렵다는 것이다. 이 경우, 넥슨의 과실이 인정된다고 해도 실질적인 보상은 미미한 수준에 그칠 것으로 보인다. 방통위 관계자는 “법에 위배되는 사항으로 판단했을 경우 조항에 따라 매출액의 몇% 형태로 지정하기 때문에 확답이 어렵다”고 설명했다.


피해자들의 집단 소송도 쉽지 않을 것으로 예상된다. 지난 옥션, 싸이월드 해킹 사건의 경우, 피해자들이 자체적으로 카페를 개설하고 피해 보상에 대한 집단 소송을 벌였지만 아직 피해 보상을 받지 못하고 있기 때문이다.


결국 법적인 책임 보다는 도덕적인 책임이 더 큰 문제가 될 것으로 전문가들은 내다보고 있다. 넥슨이 허술한 법으로 인해 강력한 처벌을 면할 수도 있지만 이보다 더 중요한 것은 유저와 업계에 스스로 책임을 지는 자세를 보이는 것이라고 강조했다. 

 

[더게임스 최승호 기자 midas@thegames.co.kr]


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.