넥슨이 운영하는 메이플스토리가 해킹을 당해 1320만명의 개인정보가 유출됐다. 개인정보보호법 시행 이후 처음 터진 대형사고다. 게임사 해킹사건으로도 최대다. 한편 넥슨의 12월 일본 증시 상장을 앞두고 터진 사건이라 파장이 예상된다.
 
◇모든 기관에 협조요청 해야 유리하다=이 상황에서 넥슨은 어떤 위기대응 조치를 취해야 할까. 이경호 고려대 정보보호대학원 교수는 “넥슨 해킹의 사고정황은 정확히 알려진바 없어 경찰 수사 결과를 기다리는 것이 맞다. 현재 넥슨은 방통위에 신고를 하고 조사를 받고 있다”며 “하지만 나중에 사고조사 대상 영역이 넓어져 개인정보보호법과 금융관련법에 적용되는 사항이 튀어나올 수 있다”고 지적했다.  
 
즉 현재까지는 사용자 이름과 계정, 암호화된 비밀번호, 암호화된 주민등록번호가 유출된 것으로 나오지만 조사결과 어떤 상황으로 전개될지 모르기 때문에 넥슨은 방통위 뿐만 아니라 위기대응 측면에서 행안부, 금감원, 검찰 등에도 자료를 제출하고 신고도 해야 한다는 것이다.
 
이 교수는 “이후 법적 대응을 위해서라도 넥슨은 관련된 모든 부서에 자료를 다 보내야 한다. 나중에 발생할 수 있는 유출통제 위반 사항에 대해 면하려면 필요하다”고 조언하고 “빨리 언론브리핑을 해야 한다. 비밀번호 암호화 강도 등에 대해서도 정보주체의 불암감을 해소하기 위해 공개해야 한다”고 강조했다.
 
초기 위기대응을 잘해야 한다는 뜻이다. 위기관리를 잘 못해서 임직원이나 엔지니어들이 위축되고 방어적으로 나와 언론에 적절히 오픈하지 못하면 추측성 정보와 허위정보들이 언론에 공개되면서 위기를 자초할 수 있다는 것이다.
 
또 “혼란을 가중 시킬 필요가 없다. 모든 기관에 성실히 자료 제출과 공조를 하는 것이 이후 법적 조치문제에서도 유리 할 것”이라며 “방통위, 행안부, 검찰, 경찰, 금융기관 등의 입장을 모두 고려해야 하고 형사상 민사상 관점도 고려해야 한다”고 밝혔다.
 
◇발표시점, 적당하다 vs 꼼수다=한편 방통위는 25일 “넥슨의 메이플스토리 회원 1800만명 중 1320만명의 개인정보가 지난 18일 해킹으로 유출됐다”고 밝히고 “넥슨 측은 지난 21일 이 사실을 인지했지만 방통위에 4일 뒤인 25일 신고를 해 왔다”고 전했다. 이 사실을 두고도 논란이 많다.
 
모 법무법인 보안전문 위원은 “개인정보보호법에 유출사고가 발생하면 지체없이 관련기관과 수사기관에 신고해야 한다고 나와있다”며 “하지만 ‘지체없이’라는 문장을 해석하는데 의견이 분분하지만 넥슨 입장에서 고지나 신고시 알려야 할 내용들을 확인하는 작업에서는 불가피 했을 것”이라고 말했다.
 
또 그는 “현재 언론에 공격자가 국내 IP를 사용했다든지 고위층 PC에 악성코드를 감염시켜 내부망에 접근했다든지 혹은 백업서버를 공격했다는 내용들을 흘리는 것은 성급한 조치들”이라며 “언론 브리핑을 통해 지금까지 조사된 내용을 정확하게 공지하는 것이 맞고 아니라면 비공식적으로 언론에 흘리는 것은 후에 법적으로 나쁜 영향을 끼칠 수 있어 주의해야 한다”고 조언했다.
 
또 다른 대형사이트 보안담당자는 “현재 넥슨에는 보안팀이 3개 팀 정도 있고 20여 명이 일하고 있다. 최근 들어 상장을 앞두고 6개월 전부터 그 전보다 보안투자도 하고 인력도 늘린 상황”이라며 “사고를 인지하고 방통위에 신고하는데 좀 늦은 감이 있다. 내부적 조사가 4일 이상 걸리는 것은 이해할 수 없다. 아무래도 발표 시점을 금요일 오후로 잡은 것은 주말 발표로 파장을 줄여보고자 한 것 아닐까 생각한다”고 추정했다.
 
현재 넥슨은 태평양 법무법인을 비롯해 여러 로펌들을 활용하고 있지만 이번 사건에 집중돼 사건의 법적 문제를 다루는 로펌에 대해서는 명확하지 않은 상황다. [데일리시큐=길민권 기자]