[박계현]넥슨 해킹사고와 '두마리토끼 잡기'

온라인 게임업체 넥슨이 28일 서울 역삼동 르네상스호텔에서 기자회견을 개최하고 '메이플스토리' 1천320만명의 가입자 정보가 침해피해를 입은 것에 대해 사과했다.

서민 넥슨 사장은 오전 10시 간담회 시작과 함께 고개숙여 "고객 여러분의 피해를 최소화 하기위해 최선을 다해 조치하겠다"고 말했다. 아울러 재발하지 않도록 노력하겠다고 약속했다.

이번 사고는 지난 7월 포털 네이트가 3천500만명의 가입자 정보를 유출 당해, 주형철 SK커뮤니케이션즈 사장이 이용자들에게 고개 숙여 사과한 지 불과 세 달여만에 일어났다.

서민 사장은 "스스로 보안이라는 주제에 대해 굉장히 심각하게 생각하고 있었고 이 부분에 대한 투자를 아끼지 않아야 된다는 의견을 견지하고 있다"고 말했다. 그럼에도 이번 사고를 피해가지는 못했다. 서 사장은 "(침해 시도의) 종류, 방법이 너무 다양해서 어느 한 가지도 비슷한 방법이 없다"고 말하면서 해킹 침해 방지의 어려움도 호소했다.

넥슨과 업계 전문가들은 이번 해킹 수법을 '지능적 지속위협(APT)'으로 추정하고 있다. APT(Advanced Persistent Threat)란 표적 공격의 한 종류로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 정보를 외부로 빼돌리는 것을 말한다.

APT 공격을 당할 경우 악성코드에 감염된 PC 사용자는 본인이 어떤 행위를 하는지 전혀 모른 채, 외부 공격자에 의해 PC가 제어된다. 누군가 내부자에게 악성코드가 포함된 이메일을 오랜 기간 동안 꾸준히 발송하고 내부자가 이를 '한 번'이라도 클릭한다면 여지없이 보안이 해제되는 셈이다.

회사가 아무리 많은 돈을 들여 보안시스템을 구축해도 기밀정보는 무심코 보낸 이메일 하나에도 뚫릴 수 있다. 일에는 실수가 따르기 쉽고, 나날이 정교해지는 해킹에 만전을 기하기는 갈수록 어려워진다.

그럼에도 사고가 터지면 모든 책임은 기업에게 돌아가기 마련이다. 기업들은 보안은 보안대로 책임지면서 이용자의 실명정보와 본인인증 정보는 정책대로 수집해야 하는 '슈퍼맨'이 되라는 주문을 받는다. 주민등록번호를 받지 말라는 개인정보보호법과 주민등록번호가 있어야 성립하는 청소년보호법은 전형적인 본보기다.

개인정보보호법은 개인 정보를 최소한도로 수집하도록 규정하고 있지만 청소년보호법의 셧다운제는 심야시간에 게임을 즐기려는 성인과 만 16세 미만 이용자를 구분해내려면 반드시 이용자의 나이를 알아내야만 한다.

서민 사장 역시 "규정상 불가피하더라도 가지고 있는 정보를 최소화하고 보안 레벨은 최대한 높이겠다. 우리에게 주어진 큰 숙제다"라며 '두 마리 토끼를 잡아야 하는' 어려움을 내비쳤다.

보안의 기본조차 지키지 않은 기업이 있다면 그 책임을 분명하게 따져 물어야 할 것이다. 갈수록 지능화하는 해킹수법에 대해서는 철저한 대비가 필요하다.

이중삼중의 철벽보안 시스템을 도입해 좀 더 안전하게 지킬 수도 있을 것이다. 그럼에도 개인정보가 수집되면 될수록 해킹 등의 침해사고에서 자유로울 수 없다. 침해사고의 가장 좋은 대응방법은 개인정보수집을 가능한 최소화하는 것 뿐이다.