지난 11월 24일 넥슨에서는 해킹에 의해 11월 18일 '메이플스토리'의 고객정보가 유출된 사실을 파악했으며, 25일 방송통신위원회에 신고했다. 현재 방송통신위원회에서는 넥슨에서 신고한 자료를 토대로 유출 경위에 대한 조사를 벌이고 있다. 현재까지 피해규모는 최대 1,322만 계정의 이름, 비밀번호, 계정, 주민등록번호 등의 개인정보가 유출된 것으로 확인되었다. 이중 주민등록번호와 비밀번호는 암호화된 상태였다.
넥슨의 서민 대표는 "이번 해킹사태로 메이플스토리와 그밖에 넥슨의 게임을 이용해 주시는 고객 여러분께 심려를 끼쳐 죄송하다는 인사를 드린다. 고객 여러분께 혹시라도 발생할 피해를 막기 위해 온 힘을 기울이고 있으며, 불안감을 덜어 드릴 수 있도록 신속하게 추가조치를 취할 것이다. 더불어 본 사건에 대해 관계기관에 수사를 의뢰했으며 무엇보다 조속한 범인 검거를 위해 최선을 다해 수사에 협조하고 있다."라고 입장을 밝혔다.
이어 넥슨 코리아의 보안을 담당하고 있는 신용석 최고 보안 책임자(CSO)가 이번 사태에 대한 개요와 후속조치에 대해 발표했다.
2011년 11월 18일 메이플스토리 백업서버에서 1322만명의 개인정보 유출
2011년 11월 21일 메이플스토리 백업서버의 이상 징후 포착
2011년 11월 24일 1,322만 건의 개인 정보가 이미 유출되었다는 사실 파악
2011년 11월 25일 해당 사실을 이용자에게 고지 및 경찰에 수사 의뢰.
방송통신위원회와 한국 인터넷진흥원에 해당 사건 신고.
첫째, 해킹 사실에 대해 향후 비밀번호 변경 캠페인을 적극적으로 추진할 것이다. 해킹 사실에 대한 통보 이후, 메이플스토리를 이용하는 고객분들께 비밀번호 변경을 적극적으로 권장하고 있으며 이를 극대화하기 위해 모든 수단을 강구해 나가겠다. 비밀번호 변경 캠페인은 '메이플스토리'뿐만 아니라 넥슨 포탈의 모든 게임에 대해 이루어질 것이다.
둘째, 휴면계정에 대한 보호 시스템을 구축하고, 자발적으로 비밀번호 변경이 불가능한 휴면계정에 대해 즉각적으로 비밀번호를 변경하는 조치를 실행할 것이다. 이러한 자발적 변경과 휴면계정의 즉각적인 비밀번호 변경으로 계정 대부분이 보호될 것이다.
셋째, 통합 멤버십 체계를 구축할 것이다. 2012년 1분기 내에 로그인 보안을 강화할 수단을 도입할 것이며, 2분기까지 통합 멤버십 체계를 구축해 보안상 나타날 수 있는 여러 문제를 보완할 수 있도록 대비할 것이다.
넷째, 정보보안에 대한 투자를 강화할 것이다. 이번 사태를 계기로 고객의 정보가 무엇보다 중요한 것임을 깊이 자각하고 있으며, 앞으로 이런 일이 재발하지 않도록 최선을 다하겠다. 넥슨에서는 보안 강화와 관련하여 최고보안책임자(CSO)를 영입하는 등, 노력을 기울이고 있으며 이를 시작으로 하여 차후 넥슨글로벌 보안관제센터(가칭)를 구축하고 운용할 것이다. 이를 통해 전 세계적으로 서비스하는 넥슨의 포탈 보안을 연계하여 강화하고, 전문인력의 확충, 정보보안에 대한 지속적인 투자를 이어나가 이러한 사태가 재발하지 않도록 최선을 다할 것이다.
넥슨 강신철 이사 / 조성원 퍼블리싱 본부장 ]
다음은 오늘 기자회견에서 있었던 질의응답을 정리한 것이다.
■ 피해와 해킹사태 전반
Q. 마비노기 등 기존 넥슨 게임에서 계정 도용이 발생했으며, 최근에는 계정도용이나 해킹 관련 신고가 늘어난 것으로 알고 있다. 이번 해킹 사태가 '메이플스토리'에만 해당한다고 발표했는데, 실질적으로 넥슨의 모든 게임이 피해를 본 게 아닌가?
= 신고가 증가한 것은 사실이나 메이플스토리의 해킹으로 인한 것인지 정확히 확인된 것은 아니다. 사태 발생 이후 최대의 노력을 기울이고 있다. 현재까지 메이플스토리 해킹 사건과 관련하여 연관있는 내용이 전혀 발견되지 않고 있으며, 그 외 혹시 있을지 모르는 추가적 해킹 여부에 대해 24시간 대처팀을 운영하고 있다.
Q. 메이플스토리 1,322만 명의 정보가 유출되었다고 발표했다. 넥슨에 가입했지만 메이플스토리를 플레이하지 않은 사람은 개인정보 유출이 되지 않았다는 말인가?
= 이번 사태는 전적으로 '메이플스토리'에 관련된 내용이며, 현재까지 파악된 바로는 메이플스토리 이외의 그 어떤 데이터베이스와도 무관하다. 그러므로 넥슨 닷컴을 포함한 다른 게임에는 영향이 없다고 말씀드릴 수 있다.
Q. 서버의 이상을 확인하고, 24일 사태를 파악한 후 25일 금요일 밤에 공지를 올렸다. 사건의 확인 이후 공지까지의 대응이 늦었는데 그 이유가 무엇인가.
= 경황 중이라 커뮤니케이션에 혼선이 있었던 것 같다. 사건을 인지하고 개인정보 유출에 대해 확인한 시점이 24일이고 그 이후 즉시 내부검토를 통해 최대한 신속하게 25일 신고 및 수사를 하게 되었다. 그 외 날짜에 대해서는 진행 경황에 따라 발생한 날짜이고 인지한 날짜와는 다르다.
결론적으로 21일 메이플스토리 서버 이상 징후를 통해 24일 침해 내용을 확인하였고, 개인정보를 담은 데이터베이스가 유출된 것을 확인했다. 내부 프로세스상 최대한 신속하게 대처했는데, 결과적으로 심려를 끼쳐 죄송하다. 더 신속할 수 있지 않았느냐는 의견에 겸허하게 잘못을 인정하고 송구스럽다는 말씀을 드리고 싶다.
Q. 주민번호와 비밀번호가 암호화 되어 있다고 발표했다. 암호화의 수준이 어느 정도인지 궁금하다.
= 그 부분은 현재 수사가 진행 중인 부분이어서 자세히 밝힐 수 없다. 또한, 암호화 수준을 밝히는 것이 범인에게 힌트를 제공할 수 있기 때문에 이야기하기 조심스럽다.
Q. 자체조사결과에 악성코드를 발견했다고 했는데, 이에 대한 설명 부탁한다. 또한, 해당 사태가 있었던 24일 캐시 아이템에 대한 공지가 나타났다가 이후 사라졌는데, 부서간 커뮤니케이션에 문제가 있는 것은 아닌가?
= 악성코드의 종류와 수량은 조사가 진행 중이다. 면밀한 파악을 위해 수사에 협조하고 있으며 정보가 밝혀지도록 노력하겠다. 또한, 24일 예정이었던 이벤트가 올라간 것을 나중에 확인했으며, 바로 내리도록 조치했다. 부서간 실시간 커뮤니케이션이 부족했던 것을 인식하고 있으며, 그러한 부분에 대해 송구스럽게 생각한다.
Q. 메이플스토리 백업 서버가 공격당했다고 했다. 이용자의 게임 정보 외 악성코드 등으로 추가적인 피해가 발생하지는 않았는가? 또한, 보안 관제 서비스는 현재 보안 업체에 만족하지 않았기 때문에 생성하는 것은 아닌가?
= 개인정보 유출 이외에 해가 될 그 어떤 것도 유출된 것은 없다. 보안 관제 서버 구축은 현재 보안업체에 대한 불만보다는, 넥슨의 북미와 아시아 등 전 세계적 긴급 대응을 하기 위한 서버 구축의 필요성으로 생성하는 것이다.
Q. 넥슨의 보안 규모는 어느정도인가? 또한 방송통신위원회와 경찰에서 진행중인 수사 의뢰 진행 사항이 궁금하다.
= 넥슨의 보안 수준과 인력이 어느 곳에 몇 명 이라는 구체적 자료를 말씀드릴 순 없으나, 오래전부터 보안이라는 주제에 대해 심각하게 생각하고 있었으며, 이에 대한 투자와 지원을 아끼지 않아야 한다고 생각해왔다. 그러나 이번 사태로 현재의 보안팀 단위 대응이 충분하지 않다고 느꼈으며, 최고 임원 레벨인 CSO직을 신설하고, 그 안에 글로벌적으로 보안을 강화할 수 있는 대책을 강구하고자 한다. 앞으로도 이런 노력을 견지하도록 하겠다.
수사 진행 사항에 대해서는 현재 신고가 된 상황이고 조사가 이루어지는 상황에서 최대한 언급을 자제하는 것이 수사에 도움이 되리라고 생각하기 때문에 자세하게 밝히지 못함을 양해해달라.
Q. 내부망과 외부망으로 보안을 분리하면 더 효율적으로 이루어진다고 알고 있다. 현재 보안이 분리되어 운영되고 있는지 궁금하다. 또한, 메이플스토리 게임의 특성상 어린 학생과 청소년이 많을 것 같은데, 피해자의 비율이 궁금하다.
= 망의 분리와 관해서 이전부터 지속적인 노력을 하고 있는 부분이다. 인터넷이 차단된 형태의 내부망에서 안전하게 서버를 운영할 방안을 강구하고, 추진하고 있다. 피해자의 비율에 대해 정확한 숫자를 말씀드리기는 어렵다. 메이플스토리는 10대 층이 가장 많다고 알려졌지만, 실제 유저분포는 10대에서 40대 연령에서 고르게 분포한다.
Q. 2차 공격과 그로 인한 피해가 예상된다. 이에 대한 대비책은?
= 명확하게 파악된 것은 없지만, 언제든지 추가적인 공격과 피해 확산에 안심할 수 없는 상황이다. 이를 막기 위해 최선을 다하고 있으며, 인력과 장비, 자원 등을 총동원하여 추가적 해킹이라던지, 2차적 피해의 가능성을 차단하기 위해 최선의 노력을 다하겠다. 이러한 노력이 단기간에 끝나고 마는 것이 아니라 중장기적으로 언제든지 발생할 수 있는 것으로 인식하고 주의를 기울이겠다.
Q. 넥슨이 그만큼 보안에 신경을 썼음에도 해킹을 당했다면 넥슨만의 문제가 아닌 전체 게임사의 문제라고 생각한다. 사회적 분위기, 그리고 최근 셧다운제도와 관련 하여 개인 정보를 취합할 수밖에 없는 입장인데, 개인정보 수집을 최소화하는 방안을 가지고 있는가?
= 보안에 대해 심각하게 생각하고 있었음에도 이런 지경에 이른 것에 죄송하다는 말씀을 드린다. 보안과 관련된 문제는 게임 업계 뿐만 아니라, 검색엔진, 서비스 등 IT 업계에서 공통적으로 가지고 있는 고민이다. 이 이상의 지속적인 관심과 투자를 기울일 것이다. 어쩔 수 없이 요청해야 하는 개인정보에 대해서는 최소화 할 수 있도록 노력할 것이며, 규정상 불가피한 경우를 제외하고 개인정보 수집을 최소화 한다거나, 보안레벨을 높여 이러한 사태가 재발하지 않도록 하겠다.
Q. 그동안 보안을 위해 노력을 기울였다고 하는데, 실제로 해킹사태에 대한 대응 매뉴얼이 있는지 궁금하다. 또한, 이번 사태에 매뉴얼대로 대응했는지도 알려달라.
= 항상 많은 해킹 시도들이 있어 왔으며, 긴급 대응에 대한 매뉴얼도 있다. 그래서 보안 기술팀을 중심으로 하여 해킹 시도에 대한 보안 매뉴얼에 따라 지속적인 대응을 하고 있었던 차에 이번 사고를 당한 것에 안타깝게 생각하고 있다.
■ 피해에 대한 향후 대책 방안
Q. 로그인 보안수준을 획기적으로 하겠다고 했는데 어떤 식으로 변경되는지 자세히 알려달라. 또한 통합구축시스템은 어떻게 구현되는가?
= 로그인 보안과 관련하여 현재 사용하고 있는 로그인 방식에 추가로 로그인 수단을 강화할 것이며, 해커들에 의한 공격을 원천적으로 차단할 수 있는 시스템의 도입을 고려하고 있다. 통합 멤버십 체계 구축을 준비 중에 있으며, 내년 상반기인 4월경을 목표로 준비하고 있다. 자세한 부분은 차후 통합 멤버십 서비스를 런칭할 때 상세히 안내해 드리겠다.
Q. 유저들의 집단 소송 움직임이 보인다. 여기에 대한 대응과 보상은 어떻게 준비하고 있는가?
= 현재 관계기관에 신고한 후 수사 중에 있다. 내부에서도 비상체제인 상태에서 사태 수습에 온 힘을 기울이고 있다. 보상은 수사 결과가 나와야 알 수 있는 부분이며, 잘못한 부분이 확인되면, 그에 대한 책임을 져야 한다고 생각한다.
Q. 비밀번호 변경 캠페인을 진행중인데, 유저들이 어느 정도 비밀번호를 변경했는지 궁금하다. 또한, 더 적극적인 캠페인을 벌인다고 했는데, 그 구체적인 방법에 대해 설명 부탁드린다.
= 사태인지 직후, 혹시 있을 피해를 방지하는 가장 효과적인 방법이 비밀번호 변경이었다. 주말동안 열심히 준비했으며 빠르면 오늘 저녁 시행할 것이다. 메이플스토리를 비롯하여 던전앤파이터, 크레이지아케이드B&B 등 네개의 게임에서 먼저 이벤트를 시작할 것이다. 지금까지 사용되지 않은 신규 아이템이나 추가적 캐쉬 아이템, 봉인자물쇠 등이며 게임 내 해킹 발생시 이를 보완할 수 있는 이벤트를 기획하고 있다.
이를 통해 비밀번호 변경에 대한 효율을 높이고자 하며, 메이플스토리를 비롯하여 조금 더 많은 유저들이 비밀번호를 변경할 수있는 방안을 강구하고 있다.
Q. 넥슨과 메이플 특성상 저연령층이 많다. 이 때문에 비밀번호 변경을 위한 캠페인을 벌여도 실제로 참여하기 어려울 수도 있다. 더욱이 본인인증이 필요하다면, 연령상 어려움이 있을 수 있는데 이러한 부분은 어떻게 해결할 것인가?
= 청소년층 유저가 많은 것은 사실이다. 미디어 등을 통해 적극적으로 홍보할 것이나, 그것만으로 효율을 극대화하기에 충분하지 않다고 생각한다.
어떤 수단과 방법을 쓰더라도 최대한 많은 유저분께서 최대한 캠페인에 동참할 수 있도록 하겠다. 실질적으로 가장 와 닿는 것이 게임 내 혜택이라고 생각해서 이번 이벤트를 기획했으며, 게임 내 혜택을 통해 저연령층 유저를 포함한 최대한 많은 분이 동참할 수 있게 기획했다.
Q. 메이플스토리 서버에 적용된 자물쇠의 기능과 수준이 지금 기술로 나온 것 중에 가장 최신이라고 볼 수 있는지 궁금하다.
= 수치나 점수로 환산하기는 힘들지만 메이플스토리 서버 뿐 아니라 모든 게임에 대해 항상 가장 최신의 보안 기술과 솔루션, 장치를 도입하기 위해 노력하고 있었다. 메이플스토리 서버에 대해서도 최선을 다했으며 최신의 보안을 위해 노력해 왔다.
Q. 보안 인력을 확충한다고 했는데, 대략 어느 정도인지 알려달라. 한 회사를 표적으로 잡고 공격하는 APT 공격으로 보이는데, 현재 내부에서 이러한 부분을 고려하고 있는가?
APT 공격은 꾸준히 있어 왔다. 대응하는 과정에서 이번 사태를 막지 못해 대단히 안타깝게 생각한다. 보안 관제 서비스 밴더를 공개하는 것은 보안 서비스와 솔루션에 대한 노출이 선량한 이용자뿐 아니라 다른 사람에게도 악용될 수 있어 자세히 밝힐 수 없음을 양해해달라.
인력충원계획은 보안 전문 인력을 대폭 확충하는 과정에서 구체적인 수치가 나오지는 않았지만, 글로벌 보안 센터 구축에 상당히 많은 인력을 투입할 것이다. 구체적 수치가 나온다면 다시 말씀드리겠다.
Q. 글로벌센터와 로그인 강화 등은 대책이라고 하기에는 미흡하다고 판단된다. 표적으로 지적되었다는 것은 앞으로도 공격의 대상이 될 것이고, 해킹의 여지가 있다는 것인데 근본적인 대책이 부족한 것 아닌가? 다른 게임사와 같이 이메일로 가입하고 플레이하는 방식을 도입할 생각은 없는가.
= 소중한 고객정보를 어떻게 보호할 것인지, 그리고 고객의 개인 정보를 최소화하여 수집할 것인지를 최우선으로 하고 있다. 그러나 사회 여건상, 그리고 규정상 불가피한 부분이 어쩔 수 없이 존재하며, 그러한 부분을 고려해서 최소한의 정보만을 요구하도록 노력하고 있다. 절대 미온적이라거나 중요성을 인지하지 못하는 것은 아니다.
글로벌 보안관제 센터가 보안에 대한 장기적인 투자 확대에 대한 의지 표명이라고 봐주셨으면 한다. 계속하여 이어질 수 있는 추가 공격에 대해서는 넥슨 코리아 전원이 비상 체제로 대비 중이며, 보안, 긴급대응에 만반의 준비를 하고 있다. 추가적인 피해가 없도록 최선의 노력을 다하겠다.
Q.소니에서도 PSN 해킹으로 전 세계적으로 7700만 명의 개인정보가 유출된 바 있다. 넥슨 글로벌보안관제센터를 운영하는 것 보다는 지금처럼 분산하는 것이 더 안전하지 않겠나?
= 현재 넥슨 코리아의 전담인력은 30여 명이며, 그 외에도 부분적으로 자신의 업무 내에서 보안을 담당하고 있기 때문에 전체적으로 보안과 관련된 인원이 훨씬 많다. 글로벌 보안관제 구축하여 이것을 중심으로 24시간 넥슨 서비스에 대한 보안과 감시를 철저히 할 것이다. 보안관제를 구축하기 위해서 앞으로 많은 인력과 자금이 필요할 것이며, 이에 대한 자세한 대책은 추후 말씀드리겠다.
Q. 책임질 부분에 대해서는 책임지고 보상을 하겠다고 했다. 게이머가 피해를 입었을 경우 메이플스토리의 해킹으로 인한 것인지, 혹은 다른 데 원인이 있는지 파악하기 힘든데, 이러한 것은 어떻게 파악할 것인가? 또 약관에 보상에 관련된 부분도 있는데, 약관이나 운영정책에서 보상 관련 부분을 변경할 계획이 있는지도 궁금하다.
= 현재 수사중이라 그 부분이 확인되면 보상에 대한 논의가 이루어질 수 있을 것이다. 현재로서는 수사에 협조하고, 최대한 많은 사실관계를 확인하는 데 주력하고 있다. 보상에 대한 구체적인 준비보다는 피해 및 사실 관계를 파악하는 것이 우선이라고 본다. 이번 사태로 약관 등에 부족한 부분이 있다면 관련 내용을 포함시켜 대비하도록 하겠다.
Q. 네이트 사태와 비슷한 해킹 공격을 받았다. 네이트 사태 이후로 보안 강화가 부족하지는 않았나?
= 해킹은 그 종류와 방식이 너무나 다양해, 동일한 방법이라고 할 수 있을만한 게 없다고 해도 과언이 아니다. 두 사태가 연관되어 있다고 말씀드리기는 조금 어렵다. 정확하게는 백업서버를 공격당한 것이고, 현재 최우선 사안은 혹시 모를 유저들의 피해를 막기 위해 가장 집중하고 있다.
물론, 서버 자체에도 보안 레벨과 보안 솔루션을 높여, 이러한 사태가 발생하지 않도록 하는 노력도 병행할 것이고, 대비하도록 하겠다.
Q. 네이트는 대규모 사건 이후 여파로 업계에 투자를 강화하는 것이 수순이다, 방식은 다르더라도 비슷한 상황의 피해를 본 것이 납득이 가지 않는다.
= 이러한 일이 초래된 데 대해 다시 한번 사죄의 말씀을 드린다. 최선을 다하려고 노력했으나 이런 일이 생긴 것에 대해 깊이 책임을 통감한다. 네 가지 솔루션을 기본으로 하여 그 안에 다양한 보안 프로그램을 강화하도록 할 것이다.
Q. 네이트에서도 해킹으로 인한 개인정보 유출로 더는 개인정보를 수집하지 않는다고 하였으며, 이미 수집된 개인정보도 최대한으로 폐기한다고 밝혔다. 넥슨에서는 어떠한가?
= 현행 규정과 요건상 어쩔 수 없이 개인정보를 수집해야 하는 일이 아직도 존재한다. 그렇지만 보관하고 있는 개인정보를 줄이고, 가능한 없애는 방안을 다각도로 검토하겠다.
desk@inven.co.kr
페이지 구독하기
다른 기사 보기
기사 제보하기
