넥슨이 오늘(28일) '메이플스토리' 1,322만 유저정보 해킹에 대한 긴급 기자회견을 열고 이에 대해 해명했다. 역삼동 르네상스호텔에서 열린 기자간담회에는 여느 때보다 많은 매체들이 참가, 본 이슈에 대한 높은 관심을 나타냈다.

회사는 지난 25일 오후 방송통신위원회 측에 자사의 대표게임 '메이플스토리' 해킹 여부를 신고했다. 피해규모는 1,322만 명으로, 2,000만 명으로 추정되는 '메이플스토리' 유저중 약 70%에 달하는 양이다. 넥슨이 개인정보를 해킹당한 시점은 18일이며, 6일 뒤 11월 24일에 이를 확인했다

이날 기자간담회에 대표한 넥슨의 서민 대표 이외에 신용석 CSO(최고 보안책임자), 조성원 퍼블리싱 본부장, 강신철 이사, 안인숙 커뮤니티센터장 등이 참석했다.

넥슨 서민 대표는 "해킹사태로 인해 심려를 끼쳐드린 모든 유저 여러분께 진심으로 죄송하다는 말씀드린다. 이번 사태 최종 책임자로서 깊이 책임을 통괄하고 있다. 회사는 유저 여러분의 피해를 막기 위해 모든 조치를 취하고 있다. 추가 조치들도 신속하게 진행 중이다. 더불어서 본 사건에 대해 관계기관에 수사를 의뢰했으며, 조속히 범인 검거를 위해 노력하고 있다. 다시 한 번 심려를 끼쳐드려 죄송하다는 말씀 드린다"고 말했다.

▲ 왼쪽부터 조성원 퍼블리싱 본부장, 강신철 이사, 안인숙 커뮤니티센터장, 신용석 최고 보안 책임자, 서민 대표

넥슨의 신용석 CSO(최고 보안 책임자)는 "모든 노력을 다하여 피해방지를 위해 혼신을 다하겠다"고 밝히며 향후 '메이플스토리' 해킹과 같은 일이 벌어지지 않기 위해 다음 네 가지 대책을 발표했다.

첫 번째는 '비밀번호 변경 캠페인 확대 실시'다. 넥슨은 유저들을 위한 개인정보 유출여부 확인 페이지를 개설했으며, 이와 함께 고객의 잠재적 피해를 최소화하고자 비밀번호 변경 캠페인을 오늘부터 실시한다고 밝혔다.

이를 위해 회사는 유저의 캠페인 참여 독려를 위한 다각적인 노력을 병행함과 동시에 '메이플스토리' 이외에 넥슨포털에서 서비스되는 게임들에 대해서도 캠페인을 확대하겠다고 밝혔다. 두 번째로 '휴면계정 보호 시스템 구축 및 즉시 적용'이다. 악용될 가능성이 있는 휴면 계정에 대해 즉각적인 조치도 실시하겠다고 밝혔다.

넥슨의 서민 대표

다음은 '넥슨 통합 멤버십 체계 구축'이다. 넥슨은 통합 멤버십을 통해 2012년 1분기 내 로그인 보안강화 수단 도입과 동시에 이와 같은 체계를 구축하겠다고 밝혔다.

마지막으로 '정보 보안에 대한 투자 강화'다. 넥슨은 넥슨 글로벌 보안관제센처(가칭)을 구축해 향후 보안 전문인력을 확충함과 동시에 투자를 확대, 해킹 피해가 재발하는 일이 없도록 하겠다고 밝혔다.

다음은 기자간담회에서 진행된 질의응답 내용 전문이다.

넥슨닷컴 포털 모두에 일어난 것은 아닌지?
현재까지 리포팅된 의혹 중 '메이플스토리'와 연관된 것은 아무것도 없다. 혹시 있지 모를 추가적인 대응에 대해서는 24시간 대응체제 구축을 통해 예방하고 있다.

암호화된 개인정보의 수준은?
암호화 해독에 대한 설명을 하게 되면 추가 피해 등의 우려가 있기 때문에 말씀드리기 어렵다. 양해 부탁드린다.

별도 계정을 사용하는 게임들도 통합되나?
현재 준비 중이며, 내년 4월 경 상반기 전체 통합 멤버십을 목표로 하고 있다. 자세한 내용은 향후 구체화가 될 경우 밝히겠다.

로그인 보안 강화 수준의 획기화를 밝혔는데 어떤 것인지?
내부에서 본 일을 인지하고 내부 검토를 거쳐 최대한 빠르게 25일에 신고 및 수사를 진행하게 된 것이다. 24일 침해 내용을 확인한 것이며, 21일 메이플스토리 서버에서 이상 징후가 발견됐고 이를 통해 개인정보 유출 가능성을 확인했다. 내부 프로세스에서는 최대한 빠르게 대처했다.

회원정보 유출에 대한 보상은?
24일 최종 확인을 하고 25일 관계기관에 신고했다. 내부에 대해서도 비상 체제에 돌입했으며, 결과에 대한 보상은 향후 문제가 해결된 다음 이에 대해 책임을 지고 대책을 마련하도록 하겠다.

넥슨포털에 가입은 했지만 메이플스토리에 가입했던 유저들은 해당사항이 없나?
전적으로 '메이플스토리'에 관련된 것이며, 이외에 넥슨의 어떤 데이터베이스와는 무관한 것으로 밝혀졌다. 넥슨닷컴을 비롯한 모든 게임에는 당연히 해당사항이 없다.

피해자들의 연령 비율은 어떻게 되나?
아직 구체적으로 집계되지 않았다. '메이플스토리'가 10대 유저들에게 많이 알려져 있지만, 10대 뿐 아니라 40대 까지 고루게 즐겨주고 계시다.

2차 피해, 공격에 대한 대책은?
아직까지 명확하게 파악한 실제 피해사례는 보고되지 않았다. 다른 추가공격, 피해에 대해서도 안심할 수 없기 때문에 모든 역량을 동원해 이를 방지하도록 노력하겠다. 

회사 내 보안담당 인력의 규모는 어느 정도가 되나?
아직 정확히 어느 곳에 어느 정도라는 것을 구체적으로 집계되지는 않았지만, 오래 전부터 '보안'이라는 것에 대해 심각하게 생각하고 투자를 아끼지 않아 왔다. CSO 직을 신설하고 글로벌 보안 센터를 통해 강화된 보안서비스를 제공하고자 노력하겠다.

방송통신위원회, 경찰 측에 수사를 의뢰했는데, 어느 정도까지 수사 상황이 진행되었나?
수사 진행 중에 대해서는 구체적인 부분은 언급하는 것은 현재 입장이 아니라고 생각한다. 양해 부탁드린다.

해킹피해에 대한 대응 메뉴얼은 있었나? 있었다면 피해 직후 이에 대해 신속히 대응했나?
메뉴얼은 물론 갖고 있다. 그동안 수 많은 해킹 시도들이 있었고 이에 대해 메뉴얼대로 대응해 왔으나, 이와 같은 안타까운 일을 겪게 되었다.

넥슨이 보안에 대해 신경을 썼음에도 해킹을 당했다면, 게임업계 전체의 문제일 수도 있다. 피해 최소화 방안은?
보안에 대해 심각하게 중요하게 생각하고 대처해 왔으나 이러한 피해를 입게 되어 송구스럽게 생각한다. 이번 일은 게임업계 뿐 아니라 포털업계 등 모든 IT 기관에 대해서도 충분히 인지해야 하는 일이라고 생각한다. 보다 많은 관심을 기울여야 할 것이다. 모든 업체가 합심하여 방안에 대해 강구하는 부분도 좋지 않을까 한다. 스스로 대처할 수 있는 부분에 대해 최선을 다하는 것은 물론이다.

상장을 앞두고 있다. 이에 대한 영향은 없을까?
송구스럽지만 두 번째 질문에 관련해서는 규정상 어떠한 언급도 할 수 없음을 알려드린다. 양해 부탁드린다.

향후 어느 정도까지 보안 인력을 확충할 것인가?
30여 명이 근무 중이며 보안과 관련된 인력은 그보다 훨씬 많다. 향후 글로벌 관제 센터를 통해 기본적인 구상으로 북미, 아시아, 유럽 등에 대규모의 관제센터를 통해 24시간 보안에 힘쓰는 것을 목표로 하고 있다.

현재 어느 정도 '메이플스토리' 유저들이 비밀번호를 변경했나?
인지 직후 가장 효과적인 부분이 비밀번호 변경이라고 생각돼 이와 같은 캠페인을 진행하게 됐다. '메이플스토리'를 비롯해 '던전앤파이터', '비앤비' 등이 우선 진행되며, 이후 게임을 비롯해 모든 게임이 진행할 것이다. 이와 관련된 해킹보안에 도움이 될 게임 아이템도 지급할 계획이다.

서버에 적용된 자물쇠 수준이 지금 기술로 나온 것 중에는 최신이라고 볼 수가 있나?
수치로 환산하기에 쉽지 않은 내용이지만, '메이플스토리' 뿐 아니라 서비스 중인 모든 게임 서버에 대해서는 항상 최신의 보안 기술, 솔루션, 장치 등을 도입해서 보안 강화하고 있다.

백업서버가 뚫렸다고 하는데, 게임 정보 등은 유출되지 않았나?
이외 유저들에게 해가 될 정보는 어떤 것도 없다는 점을 명확히 말씀드린다.

보안관제센터는 현재 보안 센터에 대한 불안함을 나타내는 것인가?
현재 서비스에 대핸 미흡함이 아니라 북미, 유럽에 걸친 긴급 대응을 할 수 있도록 하기 위한 필요성에서 출발한 것이다. 다른 의도는 없다.

저연령층이 많은데, 비밀번호 변경이 조금 힘들다고 보여진다.
청소년 층 유저가 많이 있는 것이 사실이며, 그들에게는 기존 캠페인 실시와 함께 다양한 수단을 통해(게임 내 혜택 등) 최대한 많은 유저들이 동참하도록 부탁드릴 것이다.

해킹에 대한 보안약관 변경계획은?
현재 상황에 대해 수사기관이 진행되고 있어 사실관계에 대해 확인되면 그 부분에 대해 보상 등이 논의될 수 있을 것이다. 부족한 부분이 있다고 생각되면 어떠한 부분이라도 변경할 계획이 있다.

해킹을 통해 드러난 보안 취약점은?
정확히는 '메이플스토리' 백업 서버가 해킹된 것이다. 기술적인 부분이 때문에 정확한 부분에 대해서는 조사 기간에 대해서는 구체적인 언급을 드리기는 힘들다. 양해 부탁드린다.

주민등록번호 폐지에 대해서 의지가 없는 이유는?
유저의 개인 정보를 보호하고 최소화하는 부분에 대해서 최우선 대처를 하고자 하고 있다. 사회 여건과 여러가지 구조상 불가피한 부분들도 있다.

유저들이 집단 소송을 진행하게 된다면?
사실관계가 확인된 이후에 논의를 할 것이다. 수사 결과를 지켜보면서 이런 부분에 대해 향후 대책을 마련하도록 하겠다.