넥슨코리아가 28일 서울 역삼동 르네상스호텔에서 '메이플스토리' 이용자 1320만명 계정 정보 해킹 사건과 관련 긴급 기자회견을 열었다. 기자회견에는 서민 대표와 신용석 최고 보안 책임자, 안인숙 커뮤니케이션 센터장, 강신철 이사, 조성원 퍼블리싱 본부장이 참석했다.
넥슨코리아 서민 대표는 "조속한 범인 검거를 위해 최선을 다해서 수사에 협조하고 있다"며 "해킹의 전모를 파악하고 같은 사건이 재발하지 않도록 노력하겠다"고 밝혔다.
넥슨코리아에서 보안을 책임지고 있는 신용석 최고 보안책임자는 "21일 메이플스토리 백업 데이터 서버에 이상징후를 발견하고 자체 조사에 착수, 24일에 이미 지난 18일 게임 이용자 1322만명의 개인정보가 유출됐다는 사실을 파악했다"며 "이용자들에게 최대한 피해가 가지 않도록 노력하고 있으며 향후 대책 4가지를 발표하겠다"고 말했다.
넥슨코리아가 발표한 대책 4가지는 ▲적극적인 비밀번호 변경 캠페인, ▲휴면계정 보호 시스템 구축 및 즉시 적용, ▲넥슨 통합 멤버십체계 구축, ▲정보보안에 대한 투자 강화 등이다.
이어진 질의 응답시간에는 해킹 사고 경위와 향후 대책에 대한 보다 자세한 내용을 묻는 질문들이 쇄도했지만 넥슨코리아 측은 경찰 조사 중이라는 이유로 명확한 답변을 내놓지 못해 아쉬움을 남겼다.
다음은 질의 응답 내용 전문.
Q 해킹은 메이플스토리에만 있었나. 넥슨 포털의 다른 게임에는 피해가 없었나.
A 해킹 신고가 급증하고 있는 것은 사실이나 이 사태 발생 이후 최대한의 노력으로 대응하고 있다. 아직 메이플스토리 사건과 연관된 해킹 신고는 아직 발견되지 않았다. 혹시 있을지 모를 추가적인 피해는 24시간 대응체제를 구축하고 있다. 그 이상의 피해는 없다.
Q 주민등록번호와 비밀번호의 암호화 정도는 어떻나.
A 수사가 진행중이라 자세하게 말씀드리기 조심스럽다.
Q 로그인 보안 강화를 획기적으로 강화한다고 했는데 자세한 설명을 부탁한다.
A 현재 사용하고 있는 로그인에 추가적으로 물리적인 로그인 수단을 강화함으로써 해커들을 원천적으로 차단할 수 있는 방안을 도입하겠다.
넥슨 통합멤버십 서비스는 준비중이며 자세한 부분들은 포털본부에서 론칭할때 상세히 안내할 수 있도록 하겠다.
Q 대처가 늦은 것이 아니냐는 지적이 있다. 18일에 일어난 해킹 사태를 25일 금요일 밤에 알리는 것은 너무 늦은 것 아닌가.
A 해킹을 인지하고 유출된 내용을 확인한 것은 24일이다. 그 이후 즉시 내부검토를 거쳐서 최대한 신속하게 신고 및 수사의뢰를 하게 됐다. 너무 늦었다면 겸허하게 잘못을 인정하고 죄송스럽다.
Q 회원정보 유출된 회원들에 대한 보상은 어떻게 진행되나.
A 24일에 최총 확인 후 관계기관이 수사 중이다. 내부적으로도 비상체제를 가동하며 사태 수습에 최선을 다하고 있다. 보상에 대해서는 수사 결과가 나와야 말씀드릴 수 있는 부분이다. 회사가 잘못하고 부족한 부분이 확인되면 당연히 책임을 져야 한다고 생각하고 있다.
Q 향후 개인정보 수집 여부가 궁금하다.
A 현행 규정이나 여건상 어쩔 수 없이 개인정보를 수집 및 보관해야 한다. 오래전부터 우리가 보관하고 있는 개인정보를 훨씬 더 줄이고 가능한 없앨 수 있는 다각도의 방안에 대해 검토하고 있다. 앞으로도 리스크를 줄이기 위해 노력하고 있다.
Q 유출된 회원 정보의 연령 비율이 궁금하다.
A 정확한 숫자까지 말씀드리기는 어려울 것 같다. 메이플스토리가 10대 층이 많다고 알려졌지만 실제 이용자DB는 10대부터 40대까지 연령에 고르게 분포돼있다.
◇넥슨코리아 서민 대표
Q 2차 공격에 대비하기 위한 방안이 있나. 향후 공격이 있을 것으로 보는가.
A 아직 명확하게 파악하고 있는 실제 피해 사례는 보고되고 있지 않다. 언제든지 추가적인 공격이 있을 수 있기 때문에 최선을 다해서 모든 인력과 장비를 동원해서 추가적인 해킹이나 2차적인 피해 가능성을 원천적으로 차단하도록 노력하겠다. 단기간에 끝나는 것이 아니라 중장기적으로 꾸준하게 언제든지 발생할 수 있는 문제라고 인식하고 있다.
Q 기존 보안 담당 인력의 수는 얼마나 되는가. 다른 업체와 비교하면 어떤가.
A 정확히 몇명이라고 비교한 자료를 가지고 있지는 않다. 이번 사태 이전부터 보안이라는 이슈에 대해 심각하게 생각하고 있었다. 투자와 지원을 아끼지 않아야 한다는 기조를 견지해왔다. 보안 팀 단위 대응으로 충분치 않다고 판단해 최고임원인 최고 보안 책임자를 새로 엽입하고 그 산하에 글로벌 보안을 총괄하는 보안센터를 설립하려고 한다. 지금 이상으로 적극적으로 진지하게 접근하려고 했다. 앞으로도 더 노력하겠다.
Q 대략적인 수사상황은 어떻게 이뤄지고 있나.
A 실제 조사가 이뤄지고 있는 상황에서는 언급을 자제하는 것이 맞지 않나 싶다. 죄송하다.
Q 해킹에 대한 대응 매뉴얼 같은 것이 있나.
A 긴급 대응에 대한 매뉴얼을 가지고 있다. 항상 많은 해킹 시도들이 있었다. 보안 기술팀을 중심으로 해킹 시도에 대해 보안 매뉴얼에 따라 대응하고 있었다. 그럼에도 해킹 사고가 발생해 안타깝게 생각하고 있다.
Q 보안에 신경을 써왔음에도 해킹을 당했다면 넥슨만의 문제가 아니라 전체 게임업체의 문제일 수 있다. 개인정보 수집을 최소화할 수 있는 방안은 없나.
A 보안에 대해 심각하게 생각하고 대처를 해왔지만 이런 사태가 발생한 것은 죄송스럽다. 비단 게임업계 뿐만 아니라 IT를 베이스로 하고 있는 포털이나 서비스 업계에서는 있을 수밖에 없는 일이다. 그렇기 때문에 훨씬 더 많은 관심을 가지고 투자를 해야 한다고 보고 있다. 어쩔 수 없이 요청되는 규정적인 사회 환경적인 부분에서의 개인정보는 우리 뿐만 아니라 게임업계와 IT업계 전체가 합심해서 같이 노력하고 고민해서 만들어야 하지 않나 싶다. 물론 우리 스스로 할 수 있는 부분에 대해서는 규정상 불가피하더라도 개인정보 수집 범위를 최소화하거나 보안 수준을 높이겠다. 우리에게 주어진 큰 숙제이고 노력하겠다.
Q 상장을 앞두고 있는데 이 부분이 상장에 영향을 미치는 것은 아닌가.
A IPO 관련해서는 규정상 어떠한 언급도 할 수 없는 상황이다. 이 자리에서 어떤 말씀도 드리기 어렵다. 양해를 부탁드린다.
Q 보안 담당 인력을 어느 정도 수준까지 확충할 것인가.
A 현재 넥슨코리아의 보안 전담 인력은 30여명이다. 보안을 부분적인 업무로 하고 있는 인력은 그보다 훨씬 더 많다. 글로벌 보안관제센터를 구축하려면 훨씬 더 많은 인력이 필요하다. 북미 대륙, 아시아, 유럽에 각각 관제센터를 운영하면서 24시간 모니터링할 수 있도록 만들려고 한다. 지금보다 훨씬 더 많은 예산과 인력이 필요하다.
Q 메이플스토리 서버에 적용된 보안 수준이 현재 기술력으로 가장 최신인가.
A 수치나 점수로 환산하기는 쉽지 않다. 메이플스토리 서버 뿐만 아니라 우리가 서비스하고 있는 모든 게임 서버는 항상 가장 최신의 보안기술, 보안솔루션, 보안장치를 도입하고 있다. 메이플스토리 서버 역시 최선의 보안태세를 마련하기 위해 노력해왔다.
Q 보안관제센터의 필요성은 기존 프로그램들이 미흡하기 때문인가.
A 구성의 필요성은 현재 서비스의 미흡함에서 출발했다는 것 보다는 넥슨이 현재 전세계 서비스를 하기 때문에 통일적으로 관리하고 긴급대응 역량을 제공하기 위해서 새롭게 계획하고 이행하는 것이다.
Q 저연령층인데 비밀번호 변경이 어렵지 않겠나.
A 어떤 수단과 방법을 쓰더라도 최대한 많은 이용자들이 동참했으면 좋겠다. 아마 저연령층에게 실질적으로 와닿는 부분이 게임 내에서 혜택일 것이다. 게임 내 혜택을 통해 최대한 많은, 저연령층 이용자들까지 동참시키려고 한다.
Q 네이트 해킹 사태와 비슷한 방식의 해킹이라는 소리가 있다.
A 해킹 사태는 그 종류나 방식이 너무나 다양하다. 어느 한가지도 비슷한 방법이 없다.
Q 공격이 있을 것이라는 인지는 있었나. 어떻게 보안체계를 구축하고 있나.
A APT 공격이라고 지칭하는 타겟을 지정한 공격은 꾸준히 있었다. 여기에 대한 대비를 꾸준히 하고 있고 대응도 하고 있다. 그런 와중에 이번 사태를 막지 못해서 죄송하다. 우리가 어떤 보안 솔루션, 어떤 보안 서비스를 이용하는지 노출되면 다른 집단에 악용될 수도 있어 밝히기 힘들다.
Q 개인정보 수집을 최소화하려는 의지가 약해보인다. e메일로만 회원가입을 받을수도 있지 않나.
A 의지가 없다고 비쳤다면 대단히 송구스럽다. 고객 개인정보 보호가 우리 기업의 최우선이고 어떻게든 최소화하려고 한다. 그러나 사회여건상 여러가지 규정상 정말 불가피한 부분이 어쩔 수 없이 존재하는 부분이 있다. 그런 부분을 감안해서라도 최소화하려고 한다.
Q 집단소송 가능성이 제기되고 있다.
A 경험은 없지만 사실관계 확인 후 그런 부분을 준비하고 논의하겠다.
Q 최고의 보안수준을 유지했지만 해킹을 당했다. 죄송하다라는 말을 반복하고 있다. 그럼에도 향후 대응에 대해 자세한 설명이 없어서 기자회견을 왜 개최했는지 궁금할 정도다.
A 다시 한번 사죄말씀을 드린다. 우리가 할 수 있는 나름 최선을 다해왔으나 이런 일이 벌어진 것이라 책임을 통감하고 있다. 보다 자세한 대응책은 추후에 자세히 설명할 수 있는 기회가 있을 것이다.
[데일리게임 허준 기자 jjoony@dailygame.co.kr]
