“메이플 외 다른 넥슨게임은 정보유출 없다”

메이플스토리 개인정보 침해사고 기자회견 개최

현남일(깨쓰통) 2011-11-28 11:36:24

넥슨이 28일 오전 10시 서울 역삼동 르네상스 호텔에서 ‘<메이플스토리> 개인정보 침해사고 긴급 기자회견’을 열었다. 이 자리에는 서민 대표이사, 강신철 이사, 신용석 최고보안책임자(CSO) 등 주요 임원 5명이 참석해 사고경위와 대책을 발표하고 기자들의 질문에 대답했다.

넥슨은 지난 24일 <메이플스토리> 백업 데이터베이스 서버가 해킹을 당해 회원 약 1,322만 명의 개인정보가 유출된 사실을 확인했다. 이어서 이튿날인 25일 회원들에게 알리고 방송통신심의위원회와 한국인터넷진흥원, 경찰에 자진신고했다.

[관련기사] 내년 상반기 중 ‘넥슨 통합 멤버십’ 구축 {more}

[관련기사] “개인정보 유출, 책임을 통감합니다” {more}

[관련기사] 넥슨, 신고 4일 전 서버 이상징후 발견 {more}

다음은 28일 기자회견장에서 오간 질문을 정리한 것이다.

왼쪽부터 넥슨 조성원 퍼블리싱본부장, 강신철 이사, 안인숙 커뮤니케이션 센터장

신용석 최고 보안 책임자(CSO), 서민 대표이사.

이번 사태 직전에도 <마비노기>나 <마비노기 영웅전> 등에서 해킹 시도가 있었다.

<메이플스토리> 외에 다른 게임에서도 여러 해킹 신고가 있었지만, 이번 사태와 직접적인 연관은 없는 것으로 보고 있다. 다만 이번 사태 발생 이후 모든 노력을 다해 다른 게임에 추가 피해가 가지 않도록 노력하고 있으며, 그 외 혹시 있을지도 모르는 추가피해 역시 차단할 수 있도록 최선의 노력을 다하고 있다.

유출된 1,322만 명의 개인정보는 어느 수준으로 암호화가 되어 있었나?

현재 수사가 진행 중이기 때문에 자세하게 말하기는 힘들다. 또 어느 수준의 암호화인지 말하면 해커들에게 힌트를 줄 수도 있기에 조심스럽다. 이에 대해서는 양해를 바란다.

글로벌 통합 멤버십 구축 계획은 어떻게 되는가?

내년 4월을 목표로 진행 중이며, 멤버십이 구축될 때는 로그인 보안수준도 지금보다 더 획기적인 방법으로 강화할 것이다. 자세한 구축 시기와 계획은 확정되는대로 발표하겠다.

24일에 해킹으로 개인정보가 유출된 사실을 알았는데, 25일에 경찰에 신고를 했다. 너무 늦은 것 아닌가?

실제로 개인정보가 유출됐다고 확인한 것은 24일이다. 그 후 내부 검토를 거쳐 방송통신심의위원회와 경찰에 신고한 것이 25일 오후다. 우리는 내부 프로세스를 거쳐 최대한 빠르게 신고한다고 한 것이라고 생각한다. 더 신속하게 대처할 수 있었던 것 아니냐는 비판에 대해서는 겸허하게 받아들일 것이며, 차후 이에 대해서도 보안책을 강구하겠다.

넥슨 서민 대표가 직접 기자들의 질문에 대답하고 있다.

현재 경찰의 수사는 어디까지 진행됐나?

수사 진행 상황에 대해서는, 실제 수사에 영향을 끼칠 수 있는 관계로 이 자리에서 밝히기 힘들다. 양해를 부탁한다.

넥슨포털에 가입해 있어도 <메이플스토리>를 즐기지 않은 유저라면 이번 사태에 해당사항이 없나?

발표한대로, 현재까지 계정정보 유출 피해가 확인된 것은 오직 <메이플스토리> 유저뿐이다. 만약 넥슨포털에 가입해 있다고 해도 <메이플스토리>를 즐기지 않은 유저라면 이번에 피해를 입지 않았을 것이다.

SK커뮤니케이션즈는 네이트와 싸이월드의 개인정보 유출이 발생한 후 주민등록번호를 모두 폐기하겠다고 선언했다. 넥슨은 어떻게 대응할 계획인가?

우리도 고객들의 정보를 최소한으로 저장하고 싶다. 하지만 현행 규정이나 여건상, 어쩔 수 없이 주민등록번호를 포함한 고객들의 정보를 저장해야 할 수밖에 없다. 이 부분에 관련해서는 최대한 보관해야 하는 개인정보의 수를 줄이고, 가능하면 없앨 수 있도록 여러 방안을 고민하도록 하겠다.

개인정보가 유출된 피해자들의 연령대는 어떻게 되는가?

정확한 수치까지 말하기는 힘들 것 같다. 다만 전체적으로 <메이플스토리>는 10대 이용자가 많다고 알려진 게임이지만, 실제로는 10대부터 40대까지 고르게 분포돼 있다.

해커의 2차 공격이 있을 것이라고 보는가?

이번 사태 이후 아직까지는 명확하게 파악된 해킹 시도나 공격이 없었다. 하지만 추가로 공격이 확산될 가능성이 제로(0)가 아닌 만큼 우리는 할 수 있는 한 최선의 노력을 다해서 막을 수 있도록 할 것이다. 단기간 뿐만 아니라, 중장기적으로 발생할 수 있는 위험을 막을 수 있도록 최선을 다하겠다.

현재 넥슨의 보안 담당자 규모는 어떻게 되는가?

보안만 전문으로 담당하는 직원이 30 명 정도 되고, 보안을 부차적인 업무로 담당하는 사람까지 합하면 그보다 훨씬 많다. 우리는 이번 사태 이전부터 보안이라는 주제에 대해 심각하게 생각했었고, 이 부분에 대한 투자를 아끼지 않아 왔다. 그래서 현재의 보안팀 단위 대응으로는 충분하지 않다고 판단했기에, 최근 CSO(최고 보안 책임자) 직책을 새롭게 신설했고, 한국만이 아니라 전 세계 보안을 총괄하는 보안센터를 설립해 보안을 강화하는 작업을 진행하고 있었다. 그런 와중에 이런 사태가 터져서 정말로 송구스럽게 생각한다.

현재 일본에서 증시 상장을 준비 중인데, 이번 일로 영향은 없나?

IPO(기업공개)와 관련해서는 어떠한 언급도 할 수 없는 게 규정이기 때문에, 이 자리에서 어떤 영향이 있을지에 대해서는 말하기 힘들다.

<메이플스토리> 계정정보 외에 게임정보는 유출되지 않았나?

유출됐다고 밝힌 정보 외에 유저들에게 해가 될 정보는 그 어떤 것도 유출되지 않았다고 확실하게 말할 수 있다.

오늘 여러 대책을 발표했는데, 사실 다 기존에 준비하고 있던 것들을 더 신경쓰겠다는 것 외에 추가적인 대책은 없는 것 같다. 너무 미흡한 것은 아닌가?

그렇게 생각하셨다면 정말로 송구스럽게 생각한다. 어찌됐든 이런 일이 초래된 데 대해 정말로 참담한 심정이다.

이 자리에서 자세하게 향후 대책에 대해 설명하고 싶지만, 기술적인 부분을 상세하게 발표하는 것은 무리가 따르기에, 간략적인 것들만 발표한 것이다. 넥슨은 보안 관련해서 장기적으로 대처해 나가겠다는 계획을 갖고 있으며, 또 추가적으로 이어질지도 모르는 해킹 시도에 대해서도 만반의 준비를 갖출 것이다.

그리고 앞에서도 언급했듯, 우리도 고객들의 정보를 최소한으로만 저장해서 이와 같은 해킹 사태에 대한 근본적인 문제를 해결하고 싶다. 하지만 사회 여건상, 규정상 불가피하게 저장해야 하는 부분이 있는 것 역시 사실이다. 물론 그럼에도 불구하고 고객들의 정보를 최소한도로 저장하기 위한, 그리고 보호하기 위한 노력을 게을리하지 않겠다.