넥슨, 12월 日상장 앞두고 '해킹 날벼락'
입력
수정
메이플스토리 1320만 회원 '신상' 털려싸이월드 가입자 3500만명의 개인정보가 탈취당한 지 4개월도 안 돼 넥슨 ‘메이플스토리’ 이용자 1320만명의 개인정보가 몽땅 털렸다. 이름, 아이디, 패스워드, 주민번호 등이 모두 해커 손에 넘어갔다. 메이플스토리는 초등학생과 중학생들이 즐겨 이용하는 넥슨의 대표 온라인게임. 대한민국 성인 개인정보에 이어 청소년 개인정보까지 모두 해킹을 당한 셈이다.
악성코드 심은 뒤 관리자 계정 탈취, 주민번호 등 빼가…게임머니 유출 조사
이번 사고 해킹 수법은 싸이월드 해킹과 비슷하다. 해커가 악성코드를 관리자 PC에 심어 관리자 계정을 탈취한 다음 개인정보를 빼갔다는 점에서 그렇다. 보안 전문가들은 관리자 PC가 해커 맘대로 악성코드에 감염될 수 있다는 사실이, 그것도 싸이월드 해킹 사고가 터진 지 4개월 만에 재발했다는 사실이 믿기지 않는다고 말하고 있다.이번 해킹으로 단순히 게임 이용자 개인정보만 탈취당했는지, 게임 아이템이나 게임머니 등 금전과 관련된 정보까지 해킹당했는지는 아직 밝혀지지 않았다. 넥슨 측은 게임 아이템이나 게임머니가 탈취당한 것은 아니라고 주장하나 방송통신위원회는 “금전과 관련된 피해가 있는지는 조사를 해봐야 알 수 있다”고 말했다.
신용카드 정보가 탈취당했는지도 중요한 관심사다. 메이플스토리가 청소년 게임이란 점에서 신용카드 사용자가 많지 않을 것으로 예상되긴 하지만 대한민국 대다수 청소년이 게임 아이템이나 게임머니를 탈취당한 것으로 밝혀질 경우 청소년들이 받을 정신적 충격이 매우 클 것이란 점에서도 우려를 금할 수 없다.
누가 어떤 의도로 메이플스토리 사용자들의 개인정보를 빼갔는지에 대해서는 밝혀진 게 없다. 방통위는 “개인정보와 보안 전문가들로 조사단을 구성해 조사하고 있다”며 “내막은 조사가 끝나야 알 수 있다”고 말했다. 넥슨이 도쿄증시 상장을 20여일 앞둔 시점에 해킹이 발생했다는 점에서 누군가 의도적으로 해킹했을 가능성을 배제할 수 없다.넥슨의 해킹 대응도 미흡했던 것으로 드러났다. 관리자 PC가 악성코드에 감염됐다는 것은 상식적으로 이해가 되지 않는다. 싸이월드 관리자 PC가 해킹당한 것으로 알려졌을 때도 보안 전문가들은 “있을 수 없는 일”이라고 비난했다. 넥슨이 21일 해킹당한 사실을 인지하고 나흘이 지난 뒤에야 경찰과 방통위에 신고한 것도 문제로 꼽을 수 있다.
우리나라 온라인게임이 해커들의 타깃이 된 것은 어제 오늘의 얘기가 아니다. 중국 해커들이 한국 온라인게임을 집중적으로 공략해 게임 아이템 등을 탈취한다는 얘기는 2000년대 초반부터 나돌았다. 그런데도 게임업체들은 제대로 대처하지 않았고 급기야 대한민국 청소년 대다수의 개인정보가 탈취되는 지경에 이르렀다.
메이플스토리 개인정보가 탈취당한 것으로 알려지자 게임업계 관계자들은 경악을 금치 못했다. 넥슨이라면 국내 매출 1위 온라인게임 업체인 데다 최근 온라인게임 셧다운제 도입으로 게임업계 분위기가 극도로 침체된 상태에서 악재가 터졌기 때문이다. 한 관계자는 “넥슨이 털릴 정도라면 어느 기업을 믿을 수 있겠느냐”고 말했다.
한 보안 전문가는 “터질 게 터졌다. 우리나라 온라인게임이 해커들의 먹잇감으로 여겨졌던 것은 공공연한 비밀이었다”며 “그런데도 보안을 강화하지 않고 관리자 PC에 악성코드가 심어져 계정을 탈취당했다는 것은 있을 수 없는 일”이라고 비판했다. 이 관계자는 “게임업계가 보안 수준을 한층 강화할 필요가 있다”고 덧붙였다.
방통위는 메이플스토리 사용자들의 개인정보 유출 사고로 인한 피해가 확산되지 않도록 메이플스토리 사용자들은 같은 패스워드(비밀번호)를 사용하는 다른 사이트들의 패스워드를 빠른 시일내에 변경하라고 당부했다.
김광현 IT전문기자 khkim@hankyung.com