국내 최대 온라인게임업체 넥슨이 해커의 공격을 받았다.
넥슨은 인기 온라인게임 '메이플스토리(maplestory.nexon.com)'의 백업데이터베이스가 해커의 공격을 받아 1300여만명의 고객정보가 유출됐다고 26일 밝혔다.
유출된 개인정보는 성명, ID, 주민등록번호, 비밀번호 등이다.
넥슨은 그간 이용자들의 개인정보 중 악용될 가능성이 높은 주민등록번호와 비밀번호 등을 암호화해서 저장했다. 2차 피해 가능성은 크지 않다. 또한 게임의 이용자들이 대부분 10대이다. 해킹에 따른 금융 피해 사고는 적을 것으로 예상된다.
정부와 넥슨은 2차 피해에 대비하기 위해 비밀번호 변경을 당부하고 있다. 넥슨은 개인정보 유출로 인한 피해 확산을 막기 위해 타 사이트의 비밀번호 변경 캠페인을 펼치고 있다.
넥슨 관계자는 "먼저 개인정보 유출 사태가 발생한 점에 대해서 깊은 사과 말씀을 드린다"며 "현재 사태 수습에 나서고 있다. 이용자들의 피해 확산을 막기 위해 최선을 다하고 있다"고 말했다.
해커들의 게임업체 해킹은 이번이 처음이 아니다. 그간 국내 게임업체들은 해커들의 표적이 돼 디도스(DDoS)의 공격은 물론 여러 차례 해킹의 위협을 받아왔다.
넥슨도 게임 이용자들이 증가하면서 개인정보보안 시스템에 각별한 노력을 기울여 왔다.
기본적으로 IDC 서버들은 안철수연구소의 보안관제 서비스를 받고 있다. 이를 통해 허용되지 않은 외부접근 자체를 차단하고 있다.
넥슨은 개인정보처리시스템에 대한 접근통제 강화와 정기적으로 보안 점검을 수행해왔지만 개인정보가 유출되는 사태로 곤혹스러움을 감추지 못하고 있다.
보안업체 관계자는 "해킹과 보안은 창과 방패같은 관계로 100% 안전한 보안시스템은 존재하지 않는다"며 "해커들의 목적은 개인정보를 다른 용도로 사용하기 위한 경우가 많기 때문에 주기적인 비밀번호 변경은 필수적이다"고 조언했다.
한편 넥슨은 지난 18일 해커가 내부 서버에 침입한 사실을 인지하고도 일주일이 지난 25일 오후 방송통신위원회에 신고해 늑장대응을 했다는 비난을 면치 못하게 됐다.
넥슨 측은 방통위에 25일 오후 5시 회원 개인정보 유출 사실을 신고했고 넥슨 홈페이지를 통한 개인정보 유출 사실 공지와 회원들에게 보낸 알림 메일은 오후 10시 이후에야 이뤄졌다.
아울러 24일 해킹사실을 인지하고도 25일 밤 이를 공지하기 직전까지 메이플스토리의 ‘캐시 아이템 업데이트’를 홍보하는 팝업을 노출시켜 해킹 관련해 아무런 조치를 취하지 않은 것 아니냐는 뭇매를 맞고 있다.
그간 국내에서 개인정보유출 사태는 지난 2008년 옥션을 시작으로 LG유플러스, SK커뮤니케이션즈 등 지속적으로 이어져왔다.
해커들의 목적은 개인정보를 입수해 텔레마케팅, 게임아이템 작업장 등에 건당 일정 금액을 받고 판매하는 것이 대부분이다.
또 해커들이 입수한 개인정보를 이용해 해당 사이트에 접속, 사이버캐시(인터넷 상의 현금)나 게임아이템 등을 현금으로 환전하는 피해 등도 접수된 바 있다.
보안업체 관계자는 "대부분 해커들이 수사협조가 까다로운 중국IP를 많이 이용하고 있어 이번 넥슨 해킹도 중국발 해킹으로 추정된다"고 했다.
방통위는 "정확한 넥슨의 개인정보 유출사고 경위 파악을 위해 개인정보와 보안 전문가 등으로 사고 조사단을 구성해 사고경위를 조사하고 있다"며 "2~3차 추가 피해를 방지하기 위해 해당 사이트뿐만 아니라 동일한 ID와 패스워드를 사용하는 모든 인터넷 사이트의 비밀번호를 변경해 피해를 예방해야 한다"고 당부했다.
넥슨 관계자는 "현재 개인정보유출로 피해 사례를 접수중이며 회사측의 잘못이 밝혀진 경우 이에 대한 보상책을 강구하고 있다"며 "추가 사고 방지를 위한 인터넷 웹모니터링을 강화해 이용자들의 피해를 최소화하는데 총력을 기울이고 있다"고 했다.
