여느 사건과 달리 이번 일이 불거진 이유는 피해자의 수가 많아서가 아니었다. 피해자는 소수였지만, 그들이 메이플에서 널리 알려질 정도의 고레벨, 고장비 캐릭터의 소유자들이었다는 점과 함께, 피해자들 대다수가 OTP 등 철저한 보안솔루션을 사용하고 있음에도 피해를 입었다는 점 때문이었다.
실제로 피해당사자중의 한 명인 칼루나 서버의 한 유저는, OTP 를 사용하고 있음에도 해킹을 당했다는 증거물로 OTP 솔루션 제공 업체를 통하여 OTP 인증 시간 기록을 제보하기도 했다. 또한, 피해를 당한 시간이 주말이라, 휴일에 운영되지 않는 메이플 고객센터의 특성상 신고를 접수할 수 없어, 자신의 장비를 가져간 범인이 게임내에서 장비를 판매하고 있는 모습을 지켜보고 있었던 스크린샷도 덧붙였다.
☞ [관련글] 피해자중의 1인인 칼루나서버 기획팀 유저가 올린 글 [클릭]
[ 피해 당사자가 확인한 해킹범 로그 기록. ]
해당 유저가 OTP 를 중도에 해지하지 않고 꾸준히 사용하고 있었다는 것은 OTP 기록으로도, 넥슨으로부터도 확인이 가능한 내용. 그러면 도대체 어떻게 해서 OTP 를 사용하고 있음에도 범인이 접속할 수 있었던 것일까.
이에 대해 넥슨은 ‘OTP 를 통한 인증 방식 자체가 뚫린 것은 아니’라면서, ‘해당 유저의 PC 가 악성코드에 감염되어 있었던 것으로 보이며, 또한 최근 보안에 관련된 여러 시스템을 업그레이드하는 과정에서 일부 시스템들의 충돌이 있었고, 이런 오류로 발생한 장애 때문에 범인의 접속이 가능했던 것으로 파악하고 있다’는 답변을 내놓았다.
결론적으로, 이번 사태에 대해 넥슨에게도 귀책 사유가 있다는 것을 인정한 셈이다.
넥슨 홍보실 관계자는 인벤과의 통화에서 ‘이번 사태의 피해자들에게는 적절한 보상을 하는 쪽으로 논의가 이루어지고 있다’면서, ‘피해를 입은 아이템과 게임머니의 가치에 상응하는 보상이 이루어질 것’이라고 밝히기도 했다. 또한 조만간 관련된 공지를 등록할 예정임을 덧붙이기도 했다.
그러나 여전히 과제는 남아있다. 첫번째로 고객센터가 24시간 운영되지 않는다는 점이다. 일상적인 문의야 논외로 하더라도, 해킹이나 계정도용의 경우 범인은 아이템과 게임머니를 이른 시간내에 처분하고 게임을 뜬다. 따라서 아이템과 게임머니를 처분하지 못하도록 바로 조치할 수 있는 방법이 필요한데, 야간이나 주말의 경우 고객센터가 운영되지 않기 때문에 범인이 느긋하게 처분할 수 있는 시간이 주어지는 셈이다. 적어도 해킹이나 계정도용에 관해서는 시간대에 관계없이, 신속하게 접수를 받고 바로 조치할 수 있어야만 피해가 줄어들 수 있기 때문이다.
두번째로는, 작년 11월의 대량 유출 사태가 아직 수사중인 상태, 최근 대표이사의 경찰 소환 문제까지 거론되는 상황에서 나왔다는 점이다. 범인이 게임사의 사정을 감안해가면서 해킹을 하지는 않지만, 적어도 매출 1위 게임사, 그리고 대량 유출 사태를 얼마전에 겪은 게임이라면 그만큼 보안에 신경을 더 곤두세웠어야 했기 때문이다.
한국 게임사들중 최대 매출을 기록하고 있지만, 서비스와 보안에 관해서는 아직까지 올라야 할 고지가 많은 넥슨이다.
lupin@inven.co.kr