8월 31일 발생한 '블루 아카이브'의 비정상적 콘텐츠 노출 사건이 넥슨의 보안 강화 조치를 끝으로 일단락 됐다. 넥슨은 9월 2일 공식 포럼의 공지사항을 통해 이번 사건의 원인 및 영향 범위 및 조치 사항을 밝히고, 향후 검증 절차를 강화해 재발 방지에 힘쓸 계획이라고 공지했다.

이번 사건은 8월 31일 늦은 저녁 무렵 발생했다. 당시 일부 이용자들 사이에서는 게임 내 콘텐츠인 '카페'에 수많은 동일 캐릭터가 등장하거나 이벤트 배너가 임의로 변경되고 특정 유튜브 채널로 연결되는 등의 증상이 발견됐다.

'블루 아카이브'의 '카페'에는 일반적으로 한 지점에 5명의 무작위 학생들이 방문하도록 되어 있다. 그런데 '코유키' 한 명만 여럿 방문하거나 이벤트 배너가 '코유키'의 얼굴로 변경되자 이용자들은 이를 단순 버그로 보고 초기에는 대수롭지 않게 여겼다. 특히 '코유키'는 작중 장난꾸러기이자 사고뭉치 캐릭터인 만큼 단순 '밈'으로 여겨지며 여러 유머들도 만들어졌다.

하지만 이후 콜라보를 통해 추가된 캐릭터이자 설정상 생일(8월 31일)이었던 '하츠네 미쿠'가 카페에 여러 명 방문하거나, 200여 명이 넘는 학생들 전 인원이 카페에 모두 등장하는 등 이상 현상이 보다 심화됐다. 사태가 심각해지자 넥슨은 종료 일시 미정의 긴급 점검에 들어가 원인 파악에 나섰다.

넥슨의 조사 결과 이는 버그가 아닌 외부 접근을 통한 콘텐츠 비정상적 노출이 원인으로 밝혀졌다. '블루 아카이브'의 클라이언트 실행 시 CND(콘텐츠 전송 네트워크)에서 환경설정을 확인하는 절차가 이루어지는데, 이곳에 특정 방법을 통해 접근하여 일부 콘텐츠를 비정상적으로 노출되도록 한 것이다.

넥슨 측은 "면밀히 조사한 결과 비정상적인 배너 노출 현상, 카페에서 일부 캐릭터의 비정상적 노출 현상, 특정 유튜브 채널 노출 현상 외에 다른 증상은 발견되지 않았다"며 "이용자(선생님)들의 계정 및 게임 데이터, 결제 관련 정보는 별도의 데이터베이스에 분리 운영되고 있고 게임 서버에서 재 검증을 거치는 만큼 영향이 없다"고 설명했다.

후속 조치로 넥슨은 ▲CND 환경설정 원상복구 및 긴급 차단, 내부 접속만 허용 ▲환경설정 권한을 인가된 곳에서만 접근하도록 제한, 2중 제어 추가 ▲한국인터넷진흥원(KISA) 신고 조치, 공격자 조사 등을 실시했다.

더불어 ▲외부 접속 원천 차단을 위한 정기적 점검 진행 ▲환경설정 변경 시 사전 및 사후 검증 절차 강화 ▲적용 중인 보안 취약점 진단 외 모의해킹, 버그바운티 등 강도 높은 보안 진단을 집중 시행하며 재발 방지에도 나설 계획이다.

한편, 이번 사건을 일으킨 것으로 추정되는 익명의 인물은 'gomen nexon(미안해 넥슨)'이라는 제목의 짧은 글을 남겼다. 그는 자신이 한 행동에 대해 진심으로 사과한다며, 연락할 수 있는 이메일 주소와 함께 다른 보안 취약점을 '책임 있는 공개(responsible disclosure)'를 통해 알려주겠다고 밝혔다. '책임 있는 공개'는 보안 취약점을 개발사에게 알리고 이를 패치 및 개선할 시간을 주는 것을 의미한다.