28일, 서울 강남구 소재 르네상스호텔에서 메이플스토리 회원정보 침해사건과 관련한 기자회견이 진행되었다. 이날 기자회견에서 서민대표와 임원진이 밝힌 사건 관련 질문과 응답을 정리해 보았다. 

Q. 이번 개인정보 유출이 메이플스토리에 국한된다고 밝혔으나, 23일 마비노기도 해킹이 있었고 그 외에도 서버 지연 문제 등 이달 들어 대량 해킹의 징후로 예상되는 일들이 여러 서비스에 있어오지 않았나?

확인된 사실에 근거하면 타 게임들에 일부 해킹에 대한 신고가 있었음은 사실이나 이번 대량 유출 사건과 관련해 확인된 바는 없다. 혹시 있을 지 모르는 관련 사건에 대해서는 24시간 대응체제를 구축하고 있고, 그런 사건이 없길 바라고 있다. 

▲ 넥슨 포탈에 게재된 서민 대표의 사과문 

Q. 로그인 보안 강화 수단과 넥슨 통합 멤버십 체계의 구축에 대해 구체적으로 밝혀달라.

로그인 보안 강화 수단에 대해서는 수사가 진행 중이기 때문에 혹시나 모를 악용 우려에 구체적인 공개는 곤란하다. 현재 시행되고 있는 로그인에 물리적인 방지조치를 추가해 해커의 침입을 원천적으로 봉쇄하겠다는 정도만 밝힐 수 있을 것 같다. 통합 멤버십은 내년 4월을 목표로 글로벌 통합 멤버쉽 체계 구축을 계획하고 있으며, 향후 별도의 채널을 통해 구체적인 내용을 공개하겠다. 

Q. 이상징후 발견이 21일인데 발표가 25일 밤에 이루어졌다. 빨리 확인 사항을 알려서 피해를 최소화하는 것이 중요한데 너무 늦지 않았나? 

이상징후를 발견한 것은 21일이나 개인정보 유출임을 확인한 것은 24일이고 즉시 내부검토를 거쳐서 25일 신고 수사를 하게 되었다. 18일에 유출된 것도 조사 진행간에 알게 된 것이지 실제 사태가 파악된 것은 24일이다. 

Q. 24일에 사태를 확인했다 해도 25일 밤에 발표가 된 것은 너무 늦지 않나?

내부프로세스 상으로는 최대한 신속하게 대응해 신고했다고 생각한다. 하지만, 좀 더 신속했어야 한다는 질책은 겸허히 받아 들이겠다. 다만, 송구스럽다는 말씀을 드리고 싶다.

Q. 회원정보가 유출된 회원들에 대한 보상 체계는 준비되어 있는가?

현재 경찰 조사가 진행 중이다. 내부적으로도 사태수습에 최선을 다하고 있으니 조만간 조사 결과가 나올 것으로 생각한다. 보상에 대해서는 조사결과가 나온 시점에서 확실히 말씀 드릴 수 있을 것 같다. 다만, 보상 문제에 대해서는 책임질 부분이 있다면 책임을 질 각오가 되어 있다.

Q. 넥슨 포탈에는 가입 했지만 메이플에 가입 하지 않은 회원은 상관없나? 

메이플스토리 외에 넥슨의 다른 어떤 데이타베이스와도 무관하다. 메이플스토리를 제외한 다른 모든 게임에는 영향이 없다.

Q. SK컴즈는 정보 유출 사건이 발생하자 주민번호 수집을 하지 않겠다고 했는데 넥슨은 그러한 방안은 고려치 않고 있나? 

주민등록번호수집에 관해서는 현행 규정상 어려운 점이 있다. 오래 전부터도 개인정보 보관을 줄이고 없앨 수 있는 방안에 대해 다각도로 고민하고 있고 앞으로도 이를 위해 좀 더 노력을 하겠다 .

Q. 유출된 피해자들 중 어린이와 청소년, 성인의 비율이 어느 정도나 되나? 또, 내부망과 외부망의 분리를 통한 보안 향상 의견이 있는데?

정확한 숫자를 공개하기는 어려우나 메이플스토리 회원은 10대부터 40대까지 연령 층에 고르게 분포 된 것으로 조사하고 있다. 망분리 부분에 대해서는 이전부터 지속적인 투자를 하고 있다. 인터넷이 차단된 구성의 내부망에서 안전하게 서버를 관리하기 위한 방안은 적극적으로 추진하고 있다.

▲ 고개 숙인 서민 대표

Q. 2차 공격의 가능성과 대응에 대해서 알려달라.

아직 명확하게 파악한 실제 피해사례는 보고되지 않았다. 하지만, 추가적인 피해에 대해 안심할 수 없는 상황이어서 모든 인력과 장비를 동원해서 추가적인 해킹이나 2차적 피해를 원천적으로 차단하기 위한 최선의 노력을 하고 있다. 단기간이 아닌 중장기적 계획을 통해 주의를 놓지 않고 끝까지 최선을 다하는 모습을 보이겠다.

Q. 넥슨이 게임업계에서 매출로 1위 업체라고 알려져 있는데 기존에 회사 내 보안담당인력의 수를 다른업체와 비교한다면 규모가 어느 정도나 되나? 

정확한 비교자료는 없지만 사건 이전부터 보안이라는 주제에 대해 심각하게 인지하고 투자를 아끼면 안되겠다는 생각을 견지해왔다. 이전의 보안팀 단위로는 충분치 않다고 생각해서 최고 임원직인 CSO(최고보안책임자)를 신설하고 산하에 글로벌 보안센터를 신설해 적극적인 보안노력을 해왔다. 앞으로도 이런 노력을 계속 할 것이다.

Q. 방통위나 경찰에 의뢰한 수사의 진행상황은 어느 정도인가?

송구스럽지만 신고가 되어있고 조사와 수사가 이루어지고 있는 상황이어서 언급을 최대한 자제하는 것이 맞다고 생각된다. 솔직한 말씀을 드리지 못해 죄송하게 생각한다. 

Q. 보안과 관련한 메뉴얼이 있나? 실제 이번 사건에도 메뉴얼에 따라 진행했나?

항상 시도가 있었기에 보안 메뉴얼이 있고, 메뉴얼에 따라 대응해 오던 참에 이번 문제가 발생해 대단히 유감스럽게 생각하고 있다.

▲ 넥슨 신용석 CSO(최고보안책임자) 

Q. 넥슨이 보안에 신경을 써왔음에도 해킹을 당했으면 이는 넥슨만의 문제가 아니라 게임사 전체에 대한 문제로 볼 수 있을 텐데, 주민번호 수집을 안한다던지 최소화할 수 있는 다른 방안이 있나?

나름 보안에 대해 심각히 생각했음에도 이런 지경에 이른 것은 다시 한번 죄송스런 마음이다. .하지만 말씀하신 바와 같이 이는 게임뿐 아니라 모든 IT 기반의 산업에 있을 수 밖에 없는 일이라고 생각하고  그렇기 때문에 지금까지보다 더 많은 투자와 관심을 기울여야 할 것이라고 생각한다.

어쩔 수 없이 요청되는 규정적인, 사회 환경적인 부분의 개인정보 수집 등은 전체가 합심해서 고려해야 할 문제라고 생각한다. 물론, 넥슨 자체적으로 할 수 있는 한에서는 규정상 불가피하더라도 수집 범위를 최소화 하거나 보안레벨을 향상시키려는 노력을 해야함은 주어진 숙제라고 생각하고 최선을 다하겠다.

Q. 일본 상장은 영향이 없나?

규정상 이번 사건의 조사기간 내에는 상장과 관련한 어떠한 답변을 드리기가 어렵다.

Q. 현재 투입된 보안 인력과 예산은 어느 정도인지? 소니도 PSN을 통합 운영 하면서 전세계 7천700만 건 정보를 해킹당한 사례가 있는데 통합보다 분산이 안전하지 않은가?

전담 인원은 30명 정도이며 부분적으로 관여하고 있는 인원은 그보다 훨씬 많다. 글로벌 보안 관제 센터를 구축하게 되면 북미 아시아 유럽에 각각 관제센터를 두고 넥슨의 서비스를 24시간 모니터링 할 것이다. 그러기 위해서 많은 인력과 투자를 진행할 것이다. 이와 관련한 자세한 내용은 추후 다시 발표하도록 하겠다. .

Q. 비밀번호 변경캠페인을 하고 있는데 어느 정도나 변경을 하고 있나? 좀 더 적극적인 방법으로 캠페인 하겠다고 했는데 구체적인 방법은?

사태 인지 후 가장 효과적인 대응책이 비밀번호 변경이라고 생각했다. 캠페인은 메이플스토리와 던전앤파이터를 포함한 4개의 게임이 먼저 오늘 저녁부터 시작한다. 나머지도 순차적으로 곧 진행하게 될 것이다. 

청소년층 유저가 많은 관계로 기존 미디어를 통한 참여율 극대화는 충분치 않다고 판단해 게임 내에서  참여를 유도하도록 이번 캠페인을 기획을 하게 되었다. 메이플스토리는 신규아이템과 캐쉬아이템을 통해 유저 자신이 아이템을 해킹 발생시 보호할 수 있는 장치도 고려 중이다. 유저친화적인 방안을 고민 중이며 곧 공지가 올라갈 예정이다.

Q. 로그인 강화가 서버해킹에 효과가 있나? 

최우선은 유저들의 피해를 어떻게 막을 것인가에 가장 집중하고 있기에 앞서 얘기한 방식을 기획 중이고 이와 동시에 서버 보안솔루션 강화도 당연히 병행할 것으로 생각하고 있다. 구체적인 기술내용은 수사진행 중인 관계로 언급하기가 힘들다.

Q. 타겟을 지정하고 공격을 한 것으로 알려졌는데 추가 공격에 대해 이번 대책이 미흡하지 않나? SK컴즈는 주민번호 수집을 폐지 했고, 엔씨소프트도 이메일로만 가입하고 플레이하는 방식을 도입하는데 넥슨만 미온적인 태도를 보이는 이유가 뭔가?

최우선 사항은 소중한 개인정보의 보호와 피해 최소화라고 생각해 대처하고 있다. 개인 정보 수집과 관련해서는 사회 여건이나 규정 상 정말 불가피한 부분들이 있다. 그런 부분을 감안해서 최소화 하려는 노력을 하고 있음은 알아주시면 감사하겠다. 절대 미온적이거나 중요도를 느끼지 못함은 아니다.

▲ 우측부터 서민 대표, 신용석 CSO, 안인숙 커뮤니케이션 센터장, 강신철 이사, 조성원 본부장

Q. 유저들의 집단소송 움직임이 보이고 있는데 어떻게 대응할 것인가? 

사실관계 확인 후 준비하고 논의할 예정이다. 집단소송에 대해서는 있을 수 있는 부분이라고 생각하고 수사결과를 지켜보면서 회사내부에서 추이에 따라 적절히 대안을 논의할 것이다.

Q. 보안에 최선을 다하고 있으나 해킹을 당해서 미안하다라는 걸로 들린다. 보안을 잘하고 있는데 해킹을 당했다면 보안강화나 투자확대가 근본적 대책이 되나? SK컴즈의 전례가 있었음에도 동종업계에서 또 같은 일이 당한 것 아닌가?

이런 상황을 초래한 것은 진심으로 참담한 심정이다. 최고의 대응을 하고 있었다고는 못하겠지만,중요성을 인지하고 최선을 다해왔음은 알아달라. 하지만 이런 일이 생겨 죄송하다는 말씀을 드리고 싶다. 앞선 내용들에 시급한 대책들이 녹아있으나 하나하나 자세히 설명하기에는 기술적인 요소 등 어려운 점이 있다. 오해가 없으시길 바라며, 향후 다시 구체적 내용을 말씀드릴 기회가 있을 것으로 생각한다.