해킹의 문제는 그리 단순하지 않다. 당한 사람이야 해킹이니 얼른 빨리 복구시켜 달라는 재촉을 하게 마련이지만, 게임을 서비스하는 게임사의 입장에서는 해킹인지 아닌지 확인부터 해야 하고, 또 해킹임이 확인되더라도 복구나 회수 기준에 적합한가를 따져야 하기 때문이다.


R2 인벤에도 해킹에 대한 문의, 해킹에 대한 상담 과정에서의 게임 운영자에 대한 불만글들이 꾸준히 올라올 뿐만 아니라, 해킹에 관련된 자신의 사연을 이야기하거나 억울함으로 풀고 싶어하는 유저들의 제보가 끊이지 않는다. 그리고 중요하다 싶은 내용의 경우에는 종종 기사화를 시키기도 한다.


문제는 해킹인지 아닌지를 인벤 기자들 역시 쉽게 확인하기 힘들기에, 제보자가 보내준 내용, 그리고 운영자와 주고받은 메일 등으로 주로 판단을 할 수 밖에 없다는 점이다. 종종 게임사측에 연락하여 사실 확인을 하기도 하는데, 데이터 확인에 시간이 걸릴 수도 있고, 또 게임사에 남은 로그 데이터와 해당 유저의 말이 달라 판단에 어려움을 겪곤 한다. 인벤 기자들이 게임 운영자가 아닌 이상에야 직접 게임 데이터나 게임 로그기록을 확인할 수 없으니 이는 당연한 일일 수 밖에 없다.





며칠전 올라간 OTP 해킹 기사도 이런 사례에 속한다. 자신의 사연과 억울함을 호소하는 글과 제보, 스크린샷을 받았지만 제보 내용을 확인해보아야겠다는 생각에 임사에 확인 요청을 했었다.


당시 게임사로부터 받은 내용은, 신용카드를 통해 OTP 가 해지되었기에 OTP 자체가 해킹당한 것이 아니며, 아이템 인챈트 과정에서의 손실이기 때문에 계정 도용이라 해도 복구가 어렵다는 내용이었다.


그래서 인벤에서의 기사 역시 해킹인가 아닌가 하는 것에 대한 판단은 미루어두고 당사자가 회사를 찾아갔을 때의 좀 더 정확하고 자세한 상담, 그리고 OTP 가 해지되었음에도 이를 유저가 인지하기 어려운 것에 대한 개선을 요구하는 형태로 기사를 작성하였다. 문의에 대한 성실하고 자세한 상담, 그리고 시스템적으로 부족한 부분에 대한 개선은 게임의 운영을 위해서도 꼭 필요한 부분이기 때문이다.


☞ 관련 기사 보기: 당신의 OTP 안전하십니까? 해지되도 몰라


그리고 기사고 나가고 나서 하루 반이 지나고 난 후, 게임사에서 보다 정확한 데이터 조사가 완료되었는지, 해당 사안에 관하여 상세한 로그 자료 및 입장을 보내왔는데, 게임사가 왜 계정 도용이 아니라고 결론을 내렸는지에 대한 나름대로의 근거가 자세히 담겨 있었다.



1. 해킹 사건 이전에 가족의 복구 요청이 있었다


게임사가 밝힌 자료에 따르면, 피해 유저의 해킹 사건 제보가 처음 들어온 것은 12월 17일.


그런데 그 이틀전인 12월 15일, 피해 유저의 가족중 한명으로부터 계정을 도용했다는 문의가 있었다는 것이다. 그 내용인즉슨, "자신의 가족인 ** 의 계정에 접속해 인챈트를 시도했다가 대량의 아이템을 손실하였는데, 너무 고가의 아이템이고 복구가 어려우니 운영진이 도와주었으면 한다"는 것.


다들 알 수 있듯이, 이런 경우에는 복구가 불가능하기 때문에 게임사로서도 "도움을 드리기 힘들다"는 답변을 보냈다고 한다.


2. IP 의 일치 및 유사성


그래서 이틀뒤인 17일, 당사자의 해킹 신고 및 복구 요청이 들어왓음에도 이것을 지인이나 가족에 의한 도용으로 판단하여 복구 불가 판정을 내렸다는 것이다. 또한 당사자가 평소에 플레이를 하던 IP 주소와 (가족에 의한 도용으로) 인챈트 되던 당시의 IP 주소가 서로 같았기 때문에 더더욱 복구 판정을 내릴 수 없었다는 것이다.


추가로 25일 다음의 피해 사례가 나왔을 때도 유사했다. 즉 25일 접수된 내용에 대한 IP 접속 기록을 살펴본 결과 도용당했다고 생각되는 시각의 사용자와 도용자의 IP 는 서로 달랐지만, 두 IP 가 모두 PC 방 IP 로 두 개의 PC 방이 서로 지근 거리에 위치한 것으로 확인되었던 것이다.


또한 아이템 인챈트 IP 와 OTP 해지 IP 가 서로 같을 뿐더러, 인챈트로 아이템이 증발된 시각이 OTP 해지 시각보다 빨랐기 때문에, 즉 도용자는 OTP 를 이용해 접속해서 강화를 시도하다 실패했고 그 다음에 OTP 해지가 일어났기 때문에 아이템 강화와 OTP 해지 역시 지인 혹은 가족에 의한 행위임이 유력하다는 것이다.


따라서 이런 IP 기록 및 이전 상담 기록을 확인해도, 이것은 지인이나 가족에 의한 도용 피해일 뿐 순수한 해킹 피해로 인정할 수 없다는 것이 게임사가 보내온 답변의 요지였다.





게임사가 이번 OTP 해킹건에 대해서 밝힌 내용은 위와 같았다. 물론 인벤에 보내온 자료에는 계정 도용 당시의 IP 주소, 접속 시각, PC 방의 이름 등의 내용이 모두 기재되어 있으나 기사에 상세히 숫자를 밝힐 수는 없는 일.


여기에 덧붙여 게임사는 "OTP 가입 유저라 하더라도 게임사나 시스템과는 다른 이유로 인해 OTP 번호가 유출되는 경우, 혹은 신분 확인 수단을 알 수 있거나 취득할 수 있는 지인과 가족에 의한 악용은 게임사로서도 방어하기가 매우 어렵다"라고 덧붙이고, 최근 들어 이런 지인이나 가족에 의한 도용 사례 및 인챈트 실패 후의 계정 도용 신고를 하는 사례가 증가 추세에 있어 매우 신중히 접근할 수 밖에 없다는, 운영상의 어려움을 토로하기도 했다.


그리고 마지막으로 현재도 해당 로그 기록을 모두 보관하고 있으므로, 정식 절차를 거쳐 당사자가 요청한다면 이를 모두 공개할 수 있다는 멘트도 덧붙였다.


게임사가 이렇게 공식적으로 로그 기록까지 인벤에 알려주면서 해당 사안에 대한 해명을 요청한 것에는, 지난 사건으로 인한 불필요한 오해를 피하고자 함이었을 것이다. R2 의 해킹 사건이 어제 오늘의 일이 아니고, 인벤 게시판에도 이와 관련된 글들이 꾸준히 올라왔었기에 나름대로의 어려움 및 해당 사건에 대한 세부 과정에 대해 유저들과 이야기하고 싶지 않았나 한다.


아울러 지난 기사에서 지적했던 OTP 해지시 사용자가 인지할 수 없는 부분은 지난 28 일 패치를 통해 수정되었고, 또한 해당 고객과의 응대 과정에서 조사가 아직 충분히 완료되지 않아 상담원이 정황을 모두 인지하지 못한 상태였을 뿐만 아니라 해당 고객 역시 해킹 피해로 인해 감정이 고조되어 있어 매끄럽지 못한 상담이 되었다는 점에 대해서는 사과의 말과 더불어 개선해 나가겠다는 입장을 밝히기도 했다.


이상의 내용이 며칠 전 인벤에서 화제가 되었고 기사화까지 이루어졌던 OTP 사건에 대한 게임사의 입장을 정리한 내용이다. 당사자가 이런 과정에 대해 인지하지 못했을 가능성이 충분히 있을지라도, 그리고 당사자가 이것을 인정하느냐 하지 않느냐 여부와는 무관하게 게임사가 이런 로그 기록을 가지고 있기 때문에 이번 사건의 피해에 대한 복구 등의 조치는 어려워 보인다.


온라인 게임에 대한 해킹, 그리고 이로 인한 캐릭터 및 아이템의 심대한 손실. 비단 어제 오늘의 일은 아니고 또 앞으로도 일어날 일이지만, 이런 사건의 해결 과정에서 게임사나 유저나 모두 서로간에 상처를 입지 않고 합리적으로 풀어나갈 수 있는 계기가 되었으면 한다.


게임사도 게임을 플레이하는 유저들 때문에 존속되는 것이고, 유저 역시 게임을 더 하고 싶어서 해킹 피해에 대한 복구를 요청하는 것이기 때문이다.


Inven LuPin
(lupin@inven.co.kr)