단일게임이자 게임업계 초유의 1,320만 계정 해킹 사태와 관련해 각계각층의 관심이 뜨겁다. 특히, 금융회사와 포털사이트에 이은 온라인 게임업체까지 해킹에 직격탄을 맞으면서 다시 한 번 IT업계의 보안수준에 문제가 있음이 드러났다.

이번 해킹 사태를 통해 유출된 '메이플스토리' 유저들의 정보는 이름과 주민등록번호, 아이디와 비밀번호 등이다.

넥슨측은 중요한 정보는 암호화 되어 있다고 밝힌 상태지만 암호화되지 않은 정보를 가지고서도 보이스피싱과 같은 2차 피해가 예상되는 만큼 정확한 피해 규모와 경위, 재발방지 대책에 대한 해명을 요구하는 이용자들의 목소리가 높아지고 있다.

다른 개발사 보안에 문제 있을까?
엔씨소프트, CJ E&M, NHN, 네오위즈 등 주요 게임사들은 게임포커스와의 대화를 통해 이번 개인정보 유출사건에 대해 안타까워하면서도 자사의 보안체계 구축에 빈틈이 없음을 분명히 했다.

세부적인 보안체계를 밝히는 것 역시 보안 유지에 문제가 되는 만큼 자세한 보안유지체계에 대한 설명은 하지 않았지만 대부분의 개발사들은 보안 유지를 위해 별도의 보안팀을 운용중인 것으로 확인됐다.

NHN의 경우 약 100여명, 엔씨소프트의 경우 약 50여명 정도의 별도의 보안팀을 운용중이며 세부적인 인원을 공개하진 않았지만 CJ E&M과 네오위즈게임즈 역시 별도의 보안팀을 통해 24시간 모니터링 체계를 유지하고 있다고 밝혔다.

특히 네오위즈게임즈는 게임 내 뿐만 아니라 직원들을 통한 유출 및 해킹을 미연에 방지하기 위해 별도의 침입 차단 시스템인 IPS(Intrusion Prevention System)를 운용중이라고 밝혔으며 여기에 추가적으로 자체 개발한 보안프로그램을 통해 2중 3중의 보안을 유지하고 있는 것으로 밝혀졌다.

IPS란 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어를 일컫는 말로 일반적으로 내부 네트워크로 들어오는 모든 패킷이 지나가는 경로에 설치되며 허용되지 않는 사용자나 서비스에 대한 사용을 거부하여 내부 데이터를 보호한다.

한편, 각 게임사들은 이번 유출을 통해 '메이플스토리'의 계정과 동일한 ID와 패스워드를 쓰는 유저들의 2차 피해를 방지하기 위해 비밀번호 변경, OTP서비스 이용 등 여러가지 보완책 마련에 나서며 자체적인 이벤트 등을 통해 적극적인 참여를 유도하기 위해 노력할 것임을 밝혔다.

개인정보 관리를 위해 비밀번호 변경을 요구하는 안내문

개인정보 유출 대책은?
IT업계 전문가들은 과거 해킹의 실력을 과시하기 위해 해킹을 했던 것과는 달리 요즘엔 개인정보를 이용한 범죄 행위에 이용하고자 해킹을 하는 경우가 대다수라면서 신원을 확인하는 가장 중요한 정보인 주민등록번호의 무분별한 수집을 중단해야 된다고 입을 모으고 있다.

일전 개인정보 유출로 진통을 겪었던 포털사이트 '네이트'와 '엔씨소프트'의 경우 개인정보수집 및 수집방법 개선을 통해 해킹의 주요 피해사례였던 주민등록 번호 등의 중요 정보를 저장하지 않겠다고 선언한 바 있다.

네이트의 경우 지난 8월 31일을 기점으로 모든 서비스(블로그, 싸이월드, 이글루스 등)에 수집되어 있는 주민등록번호가 삭제 되었으며 엔씨소프트 역시 금일(28일)을 기점으로 바뀐 개인정보취급 방침 개정안에 따라 이메일과 닉네임, 비밀번호 등의 단순한 정보만으로 회원가입이 가능하도록 변경됐다.

다만 가입 및 결제 등 신분확인을 요구하는 중요 서비스의 경우 신용기관으로부터 별도의 신용확인값(CI)를 통해 가입 및 이용 여부를 확인하게 된다.

업계관계자는 게임포커스와의 전화 인터뷰를 통해 "가장 중요한 정보인 주민등록번호 하나만 있어도 보이스피싱, 금융사기, 불법도용 등 각종 범죄에 충분히 활용이 가능하다"며, "내년부터 시행될 것으로 보이는 방송통신위원회의 주민등록번호 보관과 관련된 개정안에 업계들 스스로가 자발적으로 참여해 제2, 제3의 유출사고가 없도록 노력해야 할 것"이라고 밝혔다.

한편, 방송통신위원회는 지난 8월 인터넷 사이트가 모으는 개인정보 종류를 최소화하고, 보관하는 정보는 반드시 암호화하도록 규정한 개인정보 보호 강화 방안을 발표했다. 기존 사용자 동의만 있었으면 누구나 수집할 수 있었던 현행법안이 수정돼 원칙적으로 수집이 금지되며 예외적인 경우에만 허용하도록 정보통신망법을 개정할 계획이다. 방통위는 오는 12월까지 구체적인 시행 계획을 세우기로 했다.