“나보다 우리 회사 전체 시스템을 해커가 더 잘고 있다는 것을 느낄때가 있다. 섬뜩하다. 사내 PC에 돌아다니는 악성코드를 잡기 위해 백신을 아무리 돌려도 나오지 않는다. 그런데도 이상징후들이 발견될때가 많다. 바로 제로데이 공격들이다. 너무 지능적으로 공격한다. 현재 해킹 범죄자들은 상상을 초월하는 방식으로 정보를 수집해 DB관리자가 누구인지, 넥슨의 경우라면 백업서버에 접근할 수 있는 자가 누구인지 먼저 파악한 후 공격하는 형태를 취했을 것이다.” 26일 기자와 통화한 모 사이트 보안담당자의 한숨섞인 말이다.
 
경찰청 사이버테러대응센터와 방통위는 26일 넥슨 메이플스토리 전용 백업서버와 악성코드에 감염된 것으로 추정되는 임원 PC를 조사중에 있다.
 
넥슨 관계자의 말에 따르면 “넥슨은 백신부터 시작해서 웬만한 보안장비는 거의 도입·운영중이다. 망분리도 한 상태라 업무용 PC와 개발용 PC가 분리돼 있다”고 밝히고 “20여 명의 보안팀 인력이 개인정보보호와 사내 보안 그리고 게임보안 영역으로 나뉘어 최선을 다해 일해 왔다. 하지만 허탈하다”고 전했다.
 
◇넥슨, 매출액에 비해 보안투자 적었다=그럼에도 불구하고 넥슨이 쓴소리를 들어야 할 몇가지 사항이 있다. 우선 매출액 규모에 비해 상대적으로 보안투자는 약했다는 점이다. 2010년 기준으로만 봐도 넥슨의 매출액은 9,343억원이었으며 순이익은 3,427억원 규모다. 올해는 더 늘어날 것이다. 매출액 5,150억, 순이익 1740억 규모의 엔씨소프트보다 순이익이 두배 가까이 많다. 그럼에도 불구하고 엔씨소프트의 보안인력에 비해 넥슨은 적은 규모로 보안팀이 운영돼 왔다.
 
넥슨은 2008년에는 8명, 지난해까지는 10여 명만이 보안을 담당해 왔다. 일부에서는 일본 상장을 앞두고 여러 해킹사고에 시달리던 넥슨이 지난 6개월 전부터 보안팀 인력을 보강하기 시작했다고 전한다.
 
모 보안담당자는 “사실 게임사이트는 해킹공격의 최전방에서 싸우고 있다고 봐야 한다. 개인정보 보유양도 많을 뿐더러 불법으로 게임아이템 획득을 노리는 자들이 많기 때문에 항상 전쟁속에서 생활하고 있는 것”이라며 “넥슨이 보다 일찍 보안에 더 투자를 했어야 한다”고 지적했다.
 
◇백업서버에 대한 보안 허점=또 하나 지적하는 부분이 있다. 정황상 넥슨 내부자 PC에 악성코드를 감염시킨 원인이 이메일에 의한 악성코드 감염이란 것이다. 첨부파일인지 악성URL인지는 명확하지 않다.
 
한 보안전문가는 “악성코드가 내부에 유입된 것 보다 더 큰 문제는 DB접근권한 통제가 제대로 안된 것”이라며 “임원에게 모든 권한을 준 것이 문제다. 개인정보가 저장된 DB서버나 백업서버 접근은 역할별로 권한통제가 이루어져야 하는데 그것이 안된 것이다. 모든 접근 통로와 접근자를 단일화하고 거기서 통제하고 감시해야 하는데 그 부분이 제대로 되지 않아 해커가 쉽게 백업서버에 접근할 수 있게 된 것”이라고 지적했다.
 
다시말해 넥슨의 여러 게임중 메이플스토리만 당한 것으로 볼 때 게임별로 DB서버를 분리해 놓은 것은 잘 한 일이지만, 반면 넥슨은 백업서버에 대한 사용자 분리와 권한통제 부분에서 허점을 드러냈다고 볼 수 있다.
 
또 그는 “메인 DB서버에는 상대적으로 사용자 분리와 접근통제가 잘 이루어지고 있었을 것이다. 그래서 해커가 노린 것이 비교적 보안적용이 부실한 백업서버를 공격했을 가능성이 크다”고 밝히고 “DB쿼리에 대한 제한도 이루어지지 않은 것 같다. 정형화된 쿼리만 허용해야 한다. 게임에서 쿼리날리는 것과 전체 조회를 위해 쿼리를 날리는 것을 구분해야 하고 거기서 이상징후를 파악해 조치를 취했어야 한다. 또 조회 쿼리를 날릴 수 있는 사내 PC도 지정돼 있어야 한다. 넥슨은 결정적으로 백업서버에 대한 접근통제와 쿼리제한에 허점이 있었던 것”이라고 설명했다.
 
◇메일관리의 허점=또 다른 관계자는 메일관리의 허점을 지적했다. 그는 “넥슨이 사내 메일이 들어올 때 메일내부에 있는 코드들을 메일서버에서 체크를 했어야 한다. 메일을 사용자가 열어보기 전에 보안점검이 이루어져야 한다”고 지적하고 “이상행위가 있고 의심스러운 파일이나 URL이 첨부돼 있으면 삭제한 후 전달했어야 한다”고 전했다.
 
그는 “메일로 오는 공격은 언제든 당할 수 있다. 공격자는 타깃 직원이 열어볼 수밖에 없도록 사회공학적 방법으로 메일을 발송하기 때문에 주의해야 한다. 규모가 있는 회사들은 웬만한 보안장비들을 대부분 갖추고 있기 때문에 공격자들은 당연히 우회공격을 시도하고 그 방법중 하나가 악성코드가 삽입된 메일발송 방법”이라고 설명했다. 전형적인 방법이면서도 가장 많이 당하는 공격수법이기도 하다.
 
특히 넥슨은 해외 지사가 여러곳 있기 때문에 공격자들은 해외 지사를 먼저 해킹해 메일 계정을 탈취한 후 탈취한 메일계정으로 넥슨 본사 임원에게 메일을 보내게 되면 임원 입장에서는 열어볼 수밖에 없다.  
 
현재 국내 백신들이 이 역할을 일부하고 있지만 최근 공격이 대부분 백신이 탐지할 수 없는 악성코드를 사용하고 있기 때문에 탐지가 어려운 상황이다. 백신은 악의적인 것으로 판명된 것만 잡아주기 때문에 기업들은 악의적이든 그렇지 않든 시스템에 변화를 주는 것은 무조건 캐치를 해야 한다. 메일이 전달되기 전에 메일서버에서 시스템에 어떤 행위를 하는지 검사가 이루어져야 한다.
 
이와 관련 전상훈 보안칼럼리스트는 “내부자가 악성코드에 감염되면 농협이나 SK컴즈와 같은 사태가 발생할 수 있다. 4~5년 전부터 해커들은 직접 공격이 아닌 우회공격을 선호하고 있다”며 “우회공격은 웹과 메일 뿐인데 웹은 최신 솔루션으로 70~80% 정도 막을 수 있지만 메일에 대한 공격을 막을 수 있는 솔루션은 국내에 부족하다. 메일로 유입되는 탐지되지 않는 것들에 대한 대응책이 나와야 한다”고 조언했다.
 
모 백신 업체 관계자는 “백신이 100% 탐지하고 차단할 수는 없다. 그럼에도 불구하고 백신은 반드시 필요한 보안솔루션”이라며 “백신이 탐지를 못해 뚫렸다고 생각하기 보다는 백신이라도 없었으면 더 쉽게 더 많이 해킹을 당할 수 있다고 생각해 주길 바란다. 백신업체들도 1%라도 더 탐지하기 위해 수많은 노력을 기울이고 있다”고 전했다.
 
전문가들의 지적을 정리하자면 넥슨은 매출액에 비해 보안투자가 상대적으로 적었다. 그리고 메인DB서버 이외 백업서버에도 권한통제와 사용자 통제, 접근경로 단일화 그리고 쿼리 제한 같은 보안 체계가 미흡했다는 것이다. 덧붙이자면 메일에 대한 사전 보안도 허점이 있었다고 전문가들은 보고 있다. 또 몇몇 보안전문가들은 넥슨이 유저 보안과 게임보안에 집중해 상대적으로 내부 관리 보안에는 부족한 면이 있지 않았을까란 지적을 하기도 했다. [데일리시큐=길민권 기자]