[기사 제목]
넥슨 "해킹사태 보상, 수사 끝나면 밝힐것"
조회수 16672 | 루리웹 |
입력 2011.11.28 (11:58:00)
[기사 본문]
넥슨이 11월 28일 서울 역삼동 르네상스 호텔에서 기자회견을 열고 메이플스토리 대규모 해킹 사태에 대해 공식 사과했다. 기자회견에는 넥슨 서민 대표, 강신철 이사, 신용석 최고 보안 책임자, 안인숙 커뮤니케이션 센터장, 조성원 퍼블리싱 본부장이 참가했고 서민 대표가 해킹 사태에 대해 공식적인 사과 발언을 했다.
서민 대표가 발언을 끝낸 후에는 기자들과의 질의 응답 시간이 이어졌다. 넥슨 측은 "악성코드와 암호화 수준 등의 기술적인 문제에 대해서는 현재 방송통신위원회(이하 방통위)와 경찰 수사가 진행 중인 관계로 구체적으로 언급할 수 없다"고 밝혔다. 정보가 유출된 메이플스토리 회원들에 대한 보상에 대해서는 "수사가 종료되고 정확한 사실관계가 밝혀진 후에 공개하겠다"고 말했다.
근본적인 문제 해결을 위해서는 주민등록번호 등의 개인정보를 애초에 수집하지 않는 것이 좋지 않느냐는 질문에는 "현재 규정이나 다른 사회적인 여건 때문에 어쩔 수 없는 부분이 있지만, 앞으로는 개인 정보 수집을 최소화하겠다"고 전했다.
이하는 질의 응답 내용을 정리한 것이다.
Q. 최근 메이플스토리 뿐만 아니라 마비노기 등 넥슨이 서비스하는 다른 게임에서도 각종 이상징후가 보이고 있었습니다. 다른 게임은 이상이 없는 것인가요?
A. 다른 게임에서도 해킹에 관련된 신고가 급증하고 있는 것은 사실입니다. 이 사태가 발생한 후 해킹 피해를 방지하기 위해 최대한 노력하고 있습니다. 하지만 메이플스토리와 연관된 징후는 포착되지 않았습니다. 혹시 있을지 모르는 추가 피해에 대해서는 저희가 24시간 비상근무 체체로 대비하고 있기 때문에 앞으로는 이런 피해가 없을 것이라고 약속 드릴 수 있을 것 같습니다.
Q. 유출된 주민등록번호랑 비밀번호가 암호화됐다고 했습니다. 어느 정도 수준의 암호화가 되어있는지 궁금합니다. 그리고 넥슨 통합 계정은 앞으로 어떻게 운영하실 예정이신지 궁급합니다.
A. 현재 수사가 진행중인 부분이라서 자세하게 말씀드리는 것이 오히려 다른 자들에게 힌트를 제공할 수 있습니다. 통합 계정은 현재 준비 중이며, 2012년 상반기 쯤에 적용될 예정입니다. 자세한 내용은 저희 포털 본부를 통해 안내해드리겠습니다.
Q. 피해가 있다는 것이 최종적으로 확인된 시점이 11월 24일이라고 알고 있습니다. 그런데 해킹 사태에 대한 발표는 11월 25일 밤에 이루어졌습니다. 피해가 확인됐으면 바로 알리시는 것이 맞는데, 왜 25일 밤에 공개하셨는지 궁금합니다.
A. 저희가 이 사건을 인지하고 유출된 내용을 확인한 시점이 11월 24일입니다. 확인 즉시 내부 검토를 거쳐서 신속하게 신고 및 수사를 했습니다. 저희 내부적인 절차상으로는 최대한 신속하게 진행한 것이라고 생각합니다. 하지만 어찌되었든 많은 분들에게 심려를 끼쳤다는 점에 대해서는 겸허하게 인정하고 다시 한 번 송구스럽다는 말씀을 드립니다.
Q. 정보가 유출된 회원들에 대한 보상은 어떻게 하실 예정인가요?
A. 보상에 대해서는 수사 결과가 나와야 말씀드릴 수 있는 부분입니다. 저희 측이 잘못한 부분이 확인되면 저희가 당연히 그에 대해 책임을 져야 한다고 생각합니다.
Q. 메이플스토리 회원 1320만 명의 정보가 유출됐습니다. 메이플스토리에 가입은 했지만 넥슨에 가입하지 않은 회원들도 포함된 것인가요?
A. 이번 사태는 전적으로 메이플스토리에 관련된 내용입니다. 현재까지 메이플스토리 이외에 다른 어떤 데이터베이스와도 관련이 없습니다. 넥슨 닷컴을 포함한 다른 모든 게임에는 영향이 없습니다.
Q. 넥슨은 앞으로 개인정보 수집을 최소화하는 것에 대해서 논의하고 있나요?
A. 현행 규정이나 여건 상 어쩔 수 없이 수집 해야하는 개인정보들이 존재합니다. 그렇지만 오래 전부터 저희가 보관하고 있는 개인정보를 줄이는 방안에 대해서 다각도로 검토하고 있습니다. 앞으로도 개인정보 수집을 최소화하기 위해서 노력하겠습니다.
Q. 이번에 정보가 유출된 회원 중 외국인, 미성년자, 성인의 비율이 어느 정도인지 궁금합니다.
A. 메이플스토리는 10대가 주로 즐기는 게임이라고 알려져있는데, 실제 게이머 연령 분포는 10대부터 40대까지 다양합니다.
Q. 앞으로 2차 공격이나 2차 피해가 있을 것으로 보시나요? 아니면 추가 공격은 없을 것이라고 보시나요?
A. 아직까지는 피해사례가 없습니다. 하지만 언제든지 다른 추가 공격이 있을 수 있기 때문에 저희는 모든 역량을 동원해서 추가 해킹 등 2차 피해 가능성을 원천적으로 차단하기 위해 노력하겠습니다. 이 작업은 단기간에 끝나는 것이 아니라 중장기적인 계획입니다. 끝까지 책임지는 모습을 보여드리도록 최선을 다하겠습니다.
Q. 넥슨은 게임 업계에서 매출액 등 여러 가지 면을 고려하면 1위 업체라고 할 수 있습니다. 회사 내에서 보안 담당 인력의 수, 비중이 다른 회사에 비해서 어느 정도가 되는지 궁금합니다.
A. 보안 인력에 대해서는 다른 업체들과 구체적으로 비교한 자료를 가지고 있지는 않습니다. 이번 사건을 계기로 기존 보안 인력으로는 안된다는 것을 인지했고, 보안 업무를 담당하는 임원자리를 신설해서 글로벌 보안 업무를 총괄하는 역할을 맡길 것입니다. 앞으로도 이런 노력을 더욱 더 하겠습니다.
Q. 방통위나 경찰에 수사 의뢰를 하셨는데, 수사와 관련된 사항을 대략적으로라도 밝혀주실 수 있나요?
A. 송구스럽습니다만, 수사가 이뤄지고 있는 상황에서는 최대한 언급을 자제하는 것이 적절하다고 생각합니다.
Q. 넥슨이 가지고 있는 해킹 대응 매뉴얼이 있었는지 궁금합니다. 사태가 일어난 후에 대응 매뉴얼대로 하신 것인가요?
A. 항상 많은 해킹 시도들이 있어왔습니다. 보안팀을 중심으로 그런 시도에 대해서는 매뉴얼에 따라 대응하고 있었습니다. 그런 차에 이런 해킹 사고가 일어나서 매우 안타깝고 송구스럽습니다.
Q. 보안에 신경을 썼는데도 이런 사태가 발생했다면 넥슨 뿐만 아니라 게임업계 전체의 문제인 것 같습니다. 개인정보 수집을 최소화할 수 있는 다른 방안을 가지고 계신지 궁금합니다.
A. 나름 저희가 보안에 대해 심각하게 생각하고 대처해왔습니다만 이런 지경에 이르게 된 것은 죄송합니다. 게임 업계 뿐만 아니라 다른 IT 기반 산업에서는 앞으로도 있을 수 밖에 없는 일이라고 생각합니다. 보다 많은 관심을 가지고 투자해야한다고 보고 있습니다. 어쩔 수 없이 요청되는 개인정보에 대해서는 저희와 게임 업계가 합심하여 최소화할 수 있는 방법을 강구해야한다는 생각도 합니다. 그리고 저희 스스로 할 수 있는 부분에서는 개인정보 수집을 최소화하겠습니다.
Q. 넥슨은 현재 일본 증시 상장을 준비하고 있는 것으로 알고 있습니다. 이번 사태가 상장에 영향을 줄 것이라고 전망하시나요?
A. 이에 대해서는 규정상 어떠한 언급도 할 수 없는 상황입니다. 이 자리에서는 어떤 말씀도 드리기 힘듭니다.
Q. 현재 투입된 보안 인력은 어느 정도인가요?
A. 현재 30여 명의 보안 전문 인력이 근무 하고 있습니다. 보안 업무를 부분적으로 하고 있는 인원까지 합하면 더 많습니다. 기본적인 구상은 북미, 아시아 등 각 대륙별로 '관제 센터'를 구축하는 것입니다. 그러기 위해서는 앞으로 많은 투자가 필요합니다. 이에 대한 자세한 계획은 나중에 말씀드리겠습니다.
Q. 지금까지 몇 명의 메이플스토리 게이머들이 비밀번호를 변경했나요?
A. 사태를 인지한 직후, 추가 피해를 막는 가장 효과적인 방법은 비밀번호 변경이라고 판단했습니다. 그래서 비밀번호 변경 캠페인을 준비했습니다. 캠페인은 주말 동안 준비했고 빠르면 오늘 안에 시작될 것으로 알고 있습니다. 원래는 메이플스토리를 먼저 시작하려고 했는데, 던전앤파이터, 비앤비 등 4개 게임이 같이 출발합니다. 그리고 곧 넥슨의 전 게임이 동참할 것입니다. 보다 구체적인 내용은 각 게임별로 공지사항을 통해 확인할 수 있습니다.
Q. 메이플스토리 서버에 적용된 '자물쇠'의 보안 수준이 지금 기술 중 가장 최신 기술인지 궁금합니다. 100점 만점으로 했을 때 자물쇠의 기능이 몇 점 정도 되나요?
A. 그것을 수치로 환산하는 것은 쉽지 않습니다. 하지만 저희는 항상 모든 게임에 최신 보안 기술을 적용하기 위해서 노력해 왔습니다.
Q. 메이플스토리 백업 서버가 뚫렸다고 하셨습니다. 게이머들의 개인 정보외에 게임에 관련된 정보가 유출된 것은 아닌지 궁금합니다.
A. 저희가 유출됐다고 발표된 이외의 부분에서, 게이머분들께 해가 될 만한 내용이 유출된 적은 없습니다.
Q. 보안 관제 센터를 새로 만드시는 이유가 궁금합니다. 혹시 기존 보안 솔루션이 마음에 들지 않아서 인가요?
A. 전 세계 서비스를 모니터링하면서 긴급 대응이 필요한 부분이 생겼을 때 좀 더 빠르게 조치를 취할 수 있도록 하기 위해서입니다. 기존 보안 솔루션이 마음에 들지 않기 때문에 만들려고 하는 것은 아닙니다.
Q. 넥슨 특성상 저연령층 게이머가 많습니다. 비밀번호를 변경하는 등의 조치를 시행할 때 본인 인증같은 것이 중간에 끼여있다면 진행하기가 쉽지 않습니다. 이 문제에 대한 방안이 궁금합니다.
A. 청소년층 게이머가 많은 것이 사실입니다. 이런 연령 층에게는 어떤 수단과 방법을 사용하든 최대한 많은 게이머들이 동참할 수 있도록 하겠습니다. 가장 효과적인 부분이 유료 아이템을 주는 등 게임내에서 혜택을 주는 방법입니다. 이런 것을 통해서 최대한 많은 게이머들이 동참할 수 있도록 유도하겠습니다.
Q. 계정 도용이 일어났을 경우, 이 원인이 해킹인지 개인의 부주의인지 구분하기 애매한 경우가 있습니다. 이를 어떻게 구분하실 것인가요?
A. 지금 상황에 대해서 수사기관이 수사를 진행하고 있습니다. 정확한 사실이 확인 되면 보상에 대한 부분도 논의 될 수 있습니다. 지금은 수사 진행에 협조를 하고 사실관계를 확인하는데 주력하고 있습니다.
Q. 이번에는 백업 서버가 뚫렸습니다. 로그인 보안을 강화하는 것이 백업 서버가 뚫렸을 때 도움이 되는 것인가요? 그리고 이와 비슷한 해킹 시도를 경험해본 적이 있으신가요?
A. 해킹 사태는 그 종류나 방식이 너무나 다양해서 비슷한 방법이라고 할 수 있을 만한 것이 없다고 알고 있습니다. 그리고 메이플스토리 백업 서버가 뚫렸는데요, 저희가 가장 최우선으로 삼고 있는 것은 혹시라도 있을지 모르는 게이머들의 피해를 어떻게 막느냐입니다. 그래서 여러 가지 방안을 준비하고 있습니다. 그리고 서버 자체의 보안 솔루션을 좀 더 높여서 이런 사태가 발생하지 않도록 하는 노력도 동시에 병행하겠습니다.
Q. 메이플스토리 백업 서버의 취약점은 무엇이었나요?
A. 너무나 기술적인 부분이고 너무나 천차만별한 부분이라서 말씀드리기가 쉽지 않습니다. 그리고 조사가 진행되는 시점이라 구체적으로 밝히기는 곤란합니다.
Q. 이번 공격은 메이플스토리를 타겟으로 삼은 공격 같습니다. 내부적으로 그런 공격에 대한 고민을 해보셨나요?
A. 이런 타켓팅 공격은 꾸준히 있어왔습니다. 그래서 저흰느 이에 대한 대비 태세를 꾸준히 높이려고 하고 있습니다. 그런 대응을 해 나가는 상황에서 이번 해킹 공격을 막지 못해서 대단히 죄송하게 생각합니다.
Q. 사실 이런 해킹에 대한 근본적인 대책은 주민등록번호를 수집하지 않는 것입니다. 이메일로만 가입해서 플레이할 수 있게 하는 방식은 도입할 의지가 있으신가요? 지금까지 말씀하신 것을 보면 의지가 없어 보입니다.
A. 의지가 없다라고 보셨다면 대단히 송구스럽습니다. 사회 여건상 여러 가지 규정상 불가피한 부분들이 존재합니다. 그런 부분을 감안해서라도 최소의 정보만 수집한다는 방향만큼은 유지하겠습니다.
Q. 또 다른 공격을 받지 않는 것도 중요합니다. 보안 센터를 마련하시고 로그인 강화하는 것은 대책이라고 보기에 미흡한 것 같습니다. 타겟이 됐었다는 것은 지속적으로 시도할 것이라는 여지가 많습니다.
A. 글로벌 보안 관제 센터 구축은 장기적인 계획의 일환입니다. 계속적으로 이어질 수 있는 추가 공격에 대해서는 넥슨 코리아 직원들이 24시간 비상 체제로 근무하고 있습니다 교대로 철야 근무를 하면서 대비하고 있습니다. 추가 피해가 없도록 노력하겠습니다.
Q. 게이머들의 집단 소송 움직임이 보이고 있습니다. 이에 대해서는 어떻게 대응하실 것인가요?
A. 저희가 그런 사태에 대한 경험을 갖고 있지는 않습니다. 사실 관계가 확인된 다음에 논의할 예정입니다. 수사 과정, 결과를 지켜보면서 그런 부분들을 내부적으로 논의해나가겠습니다.
Q. 지금까지 발표하신 것을 요약해보면 "최고의 보안 수준을 유지했는데, 해킹 당했다 미안하다"인 것 같습니다. 그런데 대책은 글로벌 보안센터와 로그인 강화입니다. 실질적으로 이번 해킹에 대한 대책은 없는 것 같습니다. 보안을 잘하고 있는데 해킹 당했다면 투자를 더 한다고 대책이 될까요? 네이트 같은 경우는 대규모 사건이 벌어져서 동종 업계에서 긴장을 하고 투자를 했습니다. 그런 상황에서 또 이런 사태가 발생한 것에 대해서 게이머들이 납득할 것 같지 않습니다.
A. 다시 한 번 진심으로 죄송하고 참담하다는 사죄의 말씀을 드리겠습니다. 저희의 보안 수준이 최고의 수준이라고 말씀드리진 않았고, 저희가 인지하고 있는 한도에서 최선을 다해왔습니다. 그에 대한 대처 방안에 대해서는 이것들 하나하나가 기술적인 부분도 있고 게임 내적인 것도 있습니다. 너무 구체적으로 말씀드리면 길어질 것 같아서 4가지로 요약한 것입니다. 이런 조치 하나 하나를 구체적으로 설명할 기회가 있을 것입니다. 그것을 보시면 이해할 수 있을 것이라고 생각합니다.
서민 대표가 발언을 끝낸 후에는 기자들과의 질의 응답 시간이 이어졌다. 넥슨 측은 "악성코드와 암호화 수준 등의 기술적인 문제에 대해서는 현재 방송통신위원회(이하 방통위)와 경찰 수사가 진행 중인 관계로 구체적으로 언급할 수 없다"고 밝혔다. 정보가 유출된 메이플스토리 회원들에 대한 보상에 대해서는 "수사가 종료되고 정확한 사실관계가 밝혀진 후에 공개하겠다"고 말했다.
근본적인 문제 해결을 위해서는 주민등록번호 등의 개인정보를 애초에 수집하지 않는 것이 좋지 않느냐는 질문에는 "현재 규정이나 다른 사회적인 여건 때문에 어쩔 수 없는 부분이 있지만, 앞으로는 개인 정보 수집을 최소화하겠다"고 전했다.
이하는 질의 응답 내용을 정리한 것이다.
좌측부터 넥슨 조성원 퍼블리싱 본부장, 강신철 이사, 안인숙 커뮤니케이션 센터장, 신용석 최고 보안 책임자, 넥슨 서민 대표
Q. 최근 메이플스토리 뿐만 아니라 마비노기 등 넥슨이 서비스하는 다른 게임에서도 각종 이상징후가 보이고 있었습니다. 다른 게임은 이상이 없는 것인가요?
A. 다른 게임에서도 해킹에 관련된 신고가 급증하고 있는 것은 사실입니다. 이 사태가 발생한 후 해킹 피해를 방지하기 위해 최대한 노력하고 있습니다. 하지만 메이플스토리와 연관된 징후는 포착되지 않았습니다. 혹시 있을지 모르는 추가 피해에 대해서는 저희가 24시간 비상근무 체체로 대비하고 있기 때문에 앞으로는 이런 피해가 없을 것이라고 약속 드릴 수 있을 것 같습니다.
Q. 유출된 주민등록번호랑 비밀번호가 암호화됐다고 했습니다. 어느 정도 수준의 암호화가 되어있는지 궁금합니다. 그리고 넥슨 통합 계정은 앞으로 어떻게 운영하실 예정이신지 궁급합니다.
A. 현재 수사가 진행중인 부분이라서 자세하게 말씀드리는 것이 오히려 다른 자들에게 힌트를 제공할 수 있습니다. 통합 계정은 현재 준비 중이며, 2012년 상반기 쯤에 적용될 예정입니다. 자세한 내용은 저희 포털 본부를 통해 안내해드리겠습니다.
Q. 피해가 있다는 것이 최종적으로 확인된 시점이 11월 24일이라고 알고 있습니다. 그런데 해킹 사태에 대한 발표는 11월 25일 밤에 이루어졌습니다. 피해가 확인됐으면 바로 알리시는 것이 맞는데, 왜 25일 밤에 공개하셨는지 궁금합니다.
A. 저희가 이 사건을 인지하고 유출된 내용을 확인한 시점이 11월 24일입니다. 확인 즉시 내부 검토를 거쳐서 신속하게 신고 및 수사를 했습니다. 저희 내부적인 절차상으로는 최대한 신속하게 진행한 것이라고 생각합니다. 하지만 어찌되었든 많은 분들에게 심려를 끼쳤다는 점에 대해서는 겸허하게 인정하고 다시 한 번 송구스럽다는 말씀을 드립니다.
Q. 정보가 유출된 회원들에 대한 보상은 어떻게 하실 예정인가요?
A. 보상에 대해서는 수사 결과가 나와야 말씀드릴 수 있는 부분입니다. 저희 측이 잘못한 부분이 확인되면 저희가 당연히 그에 대해 책임을 져야 한다고 생각합니다.
Q. 메이플스토리 회원 1320만 명의 정보가 유출됐습니다. 메이플스토리에 가입은 했지만 넥슨에 가입하지 않은 회원들도 포함된 것인가요?
A. 이번 사태는 전적으로 메이플스토리에 관련된 내용입니다. 현재까지 메이플스토리 이외에 다른 어떤 데이터베이스와도 관련이 없습니다. 넥슨 닷컴을 포함한 다른 모든 게임에는 영향이 없습니다.
Q. 넥슨은 앞으로 개인정보 수집을 최소화하는 것에 대해서 논의하고 있나요?
A. 현행 규정이나 여건 상 어쩔 수 없이 수집 해야하는 개인정보들이 존재합니다. 그렇지만 오래 전부터 저희가 보관하고 있는 개인정보를 줄이는 방안에 대해서 다각도로 검토하고 있습니다. 앞으로도 개인정보 수집을 최소화하기 위해서 노력하겠습니다.
Q. 이번에 정보가 유출된 회원 중 외국인, 미성년자, 성인의 비율이 어느 정도인지 궁금합니다.
A. 메이플스토리는 10대가 주로 즐기는 게임이라고 알려져있는데, 실제 게이머 연령 분포는 10대부터 40대까지 다양합니다.
Q. 앞으로 2차 공격이나 2차 피해가 있을 것으로 보시나요? 아니면 추가 공격은 없을 것이라고 보시나요?
A. 아직까지는 피해사례가 없습니다. 하지만 언제든지 다른 추가 공격이 있을 수 있기 때문에 저희는 모든 역량을 동원해서 추가 해킹 등 2차 피해 가능성을 원천적으로 차단하기 위해 노력하겠습니다. 이 작업은 단기간에 끝나는 것이 아니라 중장기적인 계획입니다. 끝까지 책임지는 모습을 보여드리도록 최선을 다하겠습니다.
Q. 넥슨은 게임 업계에서 매출액 등 여러 가지 면을 고려하면 1위 업체라고 할 수 있습니다. 회사 내에서 보안 담당 인력의 수, 비중이 다른 회사에 비해서 어느 정도가 되는지 궁금합니다.
A. 보안 인력에 대해서는 다른 업체들과 구체적으로 비교한 자료를 가지고 있지는 않습니다. 이번 사건을 계기로 기존 보안 인력으로는 안된다는 것을 인지했고, 보안 업무를 담당하는 임원자리를 신설해서 글로벌 보안 업무를 총괄하는 역할을 맡길 것입니다. 앞으로도 이런 노력을 더욱 더 하겠습니다.
Q. 방통위나 경찰에 수사 의뢰를 하셨는데, 수사와 관련된 사항을 대략적으로라도 밝혀주실 수 있나요?
A. 송구스럽습니다만, 수사가 이뤄지고 있는 상황에서는 최대한 언급을 자제하는 것이 적절하다고 생각합니다.
Q. 넥슨이 가지고 있는 해킹 대응 매뉴얼이 있었는지 궁금합니다. 사태가 일어난 후에 대응 매뉴얼대로 하신 것인가요?
A. 항상 많은 해킹 시도들이 있어왔습니다. 보안팀을 중심으로 그런 시도에 대해서는 매뉴얼에 따라 대응하고 있었습니다. 그런 차에 이런 해킹 사고가 일어나서 매우 안타깝고 송구스럽습니다.
Q. 보안에 신경을 썼는데도 이런 사태가 발생했다면 넥슨 뿐만 아니라 게임업계 전체의 문제인 것 같습니다. 개인정보 수집을 최소화할 수 있는 다른 방안을 가지고 계신지 궁금합니다.
A. 나름 저희가 보안에 대해 심각하게 생각하고 대처해왔습니다만 이런 지경에 이르게 된 것은 죄송합니다. 게임 업계 뿐만 아니라 다른 IT 기반 산업에서는 앞으로도 있을 수 밖에 없는 일이라고 생각합니다. 보다 많은 관심을 가지고 투자해야한다고 보고 있습니다. 어쩔 수 없이 요청되는 개인정보에 대해서는 저희와 게임 업계가 합심하여 최소화할 수 있는 방법을 강구해야한다는 생각도 합니다. 그리고 저희 스스로 할 수 있는 부분에서는 개인정보 수집을 최소화하겠습니다.
Q. 넥슨은 현재 일본 증시 상장을 준비하고 있는 것으로 알고 있습니다. 이번 사태가 상장에 영향을 줄 것이라고 전망하시나요?
A. 이에 대해서는 규정상 어떠한 언급도 할 수 없는 상황입니다. 이 자리에서는 어떤 말씀도 드리기 힘듭니다.
Q. 현재 투입된 보안 인력은 어느 정도인가요?
A. 현재 30여 명의 보안 전문 인력이 근무 하고 있습니다. 보안 업무를 부분적으로 하고 있는 인원까지 합하면 더 많습니다. 기본적인 구상은 북미, 아시아 등 각 대륙별로 '관제 센터'를 구축하는 것입니다. 그러기 위해서는 앞으로 많은 투자가 필요합니다. 이에 대한 자세한 계획은 나중에 말씀드리겠습니다.
Q. 지금까지 몇 명의 메이플스토리 게이머들이 비밀번호를 변경했나요?
A. 사태를 인지한 직후, 추가 피해를 막는 가장 효과적인 방법은 비밀번호 변경이라고 판단했습니다. 그래서 비밀번호 변경 캠페인을 준비했습니다. 캠페인은 주말 동안 준비했고 빠르면 오늘 안에 시작될 것으로 알고 있습니다. 원래는 메이플스토리를 먼저 시작하려고 했는데, 던전앤파이터, 비앤비 등 4개 게임이 같이 출발합니다. 그리고 곧 넥슨의 전 게임이 동참할 것입니다. 보다 구체적인 내용은 각 게임별로 공지사항을 통해 확인할 수 있습니다.
Q. 메이플스토리 서버에 적용된 '자물쇠'의 보안 수준이 지금 기술 중 가장 최신 기술인지 궁금합니다. 100점 만점으로 했을 때 자물쇠의 기능이 몇 점 정도 되나요?
A. 그것을 수치로 환산하는 것은 쉽지 않습니다. 하지만 저희는 항상 모든 게임에 최신 보안 기술을 적용하기 위해서 노력해 왔습니다.
Q. 메이플스토리 백업 서버가 뚫렸다고 하셨습니다. 게이머들의 개인 정보외에 게임에 관련된 정보가 유출된 것은 아닌지 궁금합니다.
A. 저희가 유출됐다고 발표된 이외의 부분에서, 게이머분들께 해가 될 만한 내용이 유출된 적은 없습니다.
Q. 보안 관제 센터를 새로 만드시는 이유가 궁금합니다. 혹시 기존 보안 솔루션이 마음에 들지 않아서 인가요?
A. 전 세계 서비스를 모니터링하면서 긴급 대응이 필요한 부분이 생겼을 때 좀 더 빠르게 조치를 취할 수 있도록 하기 위해서입니다. 기존 보안 솔루션이 마음에 들지 않기 때문에 만들려고 하는 것은 아닙니다.
Q. 넥슨 특성상 저연령층 게이머가 많습니다. 비밀번호를 변경하는 등의 조치를 시행할 때 본인 인증같은 것이 중간에 끼여있다면 진행하기가 쉽지 않습니다. 이 문제에 대한 방안이 궁금합니다.
A. 청소년층 게이머가 많은 것이 사실입니다. 이런 연령 층에게는 어떤 수단과 방법을 사용하든 최대한 많은 게이머들이 동참할 수 있도록 하겠습니다. 가장 효과적인 부분이 유료 아이템을 주는 등 게임내에서 혜택을 주는 방법입니다. 이런 것을 통해서 최대한 많은 게이머들이 동참할 수 있도록 유도하겠습니다.
Q. 계정 도용이 일어났을 경우, 이 원인이 해킹인지 개인의 부주의인지 구분하기 애매한 경우가 있습니다. 이를 어떻게 구분하실 것인가요?
A. 지금 상황에 대해서 수사기관이 수사를 진행하고 있습니다. 정확한 사실이 확인 되면 보상에 대한 부분도 논의 될 수 있습니다. 지금은 수사 진행에 협조를 하고 사실관계를 확인하는데 주력하고 있습니다.
Q. 이번에는 백업 서버가 뚫렸습니다. 로그인 보안을 강화하는 것이 백업 서버가 뚫렸을 때 도움이 되는 것인가요? 그리고 이와 비슷한 해킹 시도를 경험해본 적이 있으신가요?
A. 해킹 사태는 그 종류나 방식이 너무나 다양해서 비슷한 방법이라고 할 수 있을 만한 것이 없다고 알고 있습니다. 그리고 메이플스토리 백업 서버가 뚫렸는데요, 저희가 가장 최우선으로 삼고 있는 것은 혹시라도 있을지 모르는 게이머들의 피해를 어떻게 막느냐입니다. 그래서 여러 가지 방안을 준비하고 있습니다. 그리고 서버 자체의 보안 솔루션을 좀 더 높여서 이런 사태가 발생하지 않도록 하는 노력도 동시에 병행하겠습니다.
Q. 메이플스토리 백업 서버의 취약점은 무엇이었나요?
A. 너무나 기술적인 부분이고 너무나 천차만별한 부분이라서 말씀드리기가 쉽지 않습니다. 그리고 조사가 진행되는 시점이라 구체적으로 밝히기는 곤란합니다.
Q. 이번 공격은 메이플스토리를 타겟으로 삼은 공격 같습니다. 내부적으로 그런 공격에 대한 고민을 해보셨나요?
A. 이런 타켓팅 공격은 꾸준히 있어왔습니다. 그래서 저흰느 이에 대한 대비 태세를 꾸준히 높이려고 하고 있습니다. 그런 대응을 해 나가는 상황에서 이번 해킹 공격을 막지 못해서 대단히 죄송하게 생각합니다.
Q. 사실 이런 해킹에 대한 근본적인 대책은 주민등록번호를 수집하지 않는 것입니다. 이메일로만 가입해서 플레이할 수 있게 하는 방식은 도입할 의지가 있으신가요? 지금까지 말씀하신 것을 보면 의지가 없어 보입니다.
A. 의지가 없다라고 보셨다면 대단히 송구스럽습니다. 사회 여건상 여러 가지 규정상 불가피한 부분들이 존재합니다. 그런 부분을 감안해서라도 최소의 정보만 수집한다는 방향만큼은 유지하겠습니다.
Q. 또 다른 공격을 받지 않는 것도 중요합니다. 보안 센터를 마련하시고 로그인 강화하는 것은 대책이라고 보기에 미흡한 것 같습니다. 타겟이 됐었다는 것은 지속적으로 시도할 것이라는 여지가 많습니다.
A. 글로벌 보안 관제 센터 구축은 장기적인 계획의 일환입니다. 계속적으로 이어질 수 있는 추가 공격에 대해서는 넥슨 코리아 직원들이 24시간 비상 체제로 근무하고 있습니다 교대로 철야 근무를 하면서 대비하고 있습니다. 추가 피해가 없도록 노력하겠습니다.
Q. 게이머들의 집단 소송 움직임이 보이고 있습니다. 이에 대해서는 어떻게 대응하실 것인가요?
A. 저희가 그런 사태에 대한 경험을 갖고 있지는 않습니다. 사실 관계가 확인된 다음에 논의할 예정입니다. 수사 과정, 결과를 지켜보면서 그런 부분들을 내부적으로 논의해나가겠습니다.
Q. 지금까지 발표하신 것을 요약해보면 "최고의 보안 수준을 유지했는데, 해킹 당했다 미안하다"인 것 같습니다. 그런데 대책은 글로벌 보안센터와 로그인 강화입니다. 실질적으로 이번 해킹에 대한 대책은 없는 것 같습니다. 보안을 잘하고 있는데 해킹 당했다면 투자를 더 한다고 대책이 될까요? 네이트 같은 경우는 대규모 사건이 벌어져서 동종 업계에서 긴장을 하고 투자를 했습니다. 그런 상황에서 또 이런 사태가 발생한 것에 대해서 게이머들이 납득할 것 같지 않습니다.
A. 다시 한 번 진심으로 죄송하고 참담하다는 사죄의 말씀을 드리겠습니다. 저희의 보안 수준이 최고의 수준이라고 말씀드리진 않았고, 저희가 인지하고 있는 한도에서 최선을 다해왔습니다. 그에 대한 대처 방안에 대해서는 이것들 하나하나가 기술적인 부분도 있고 게임 내적인 것도 있습니다. 너무 구체적으로 말씀드리면 길어질 것 같아서 4가지로 요약한 것입니다. 이런 조치 하나 하나를 구체적으로 설명할 기회가 있을 것입니다. 그것을 보시면 이해할 수 있을 것이라고 생각합니다.
| 김창훈 기자 changhoon@ruliweb.com |
| 보도자료 press@ruliweb.com |
