얼씨구나 하고 넥슨 해킹사건에 신이난 언론들이 촐싹거리고 있다. 하지만 어디에도 팩트는 없다. 팩트는 넥슨과 공격자만 알고 있다. 과연 어떤 기업이 넥슨을 향해 떳떳하고 당당하게 손가락질 하며 돌을 던질 수 있을까. 다음번 해킹사건의 주인공은 바로 당신들 회사가 될 수 있다는 것을 명심하길 바란다.
 
◇현장의 어려움을 이해한다=김휘강 고려대 정보보호대학원 교수는 “현업에서 일을 해봤기 때문에 넥슨 담당자 입장에서 보면 억울하고 힘든 상황일 것이다. IT기업이지만 사내에는 IT를 모르는 직원들이 많다”며 “게임사 보안인력 많아도 해야할 일이 정말 많다. 전통적인 네트워크 보안, PC보안, 보안정책 수립뿐만 아니라 게임사 고유영역인 게임보안도 해야 하는 상황”이라고 말했다.
 
또 “예전에는 백신으로 어느정도 처리됐는데 제로데이 패턴이 너무 많아져서 악성코드 공격을 완벽히 막으라는 것은 현실적으로 무리”라며 “변종 코드 등을 검역소에서 수동분석이라도 하면 왜 못잡느냐, 왜 하필 그 백신을 사용했나라고 비난할 수도 있겠지만 백신도 한계가 있다. 세계적 백신들을 비교해도 제품마다 탐지 종류가 다르다. 이런 마당에 국내 백신이 못잡는다고 비난만 하기도 애매하다”고 설명했다.
 
김 교수는 IT기업이라고 해도 사내에 IT를 모르는 직원들이 많고 그런 사람이 경영진인 경우 쉽게 타깃이 될 수 있고 공격에도 쉽게 넘어간다고 전했다.
 
더욱이 그는 “같은 게임 업종에서 일했기 때문에 넥슨이 보안준비를 얼마나 열심히 하고 있었는지 알고 있다. 넥슨은 대부분의 보안솔루션들을 운영하고 있으며 망분리까지 다 해놓은 기업”이라며 “그럼에도 불구하고 내부 직원 PC를 감염시켜 조금씩 조금씩 의심가지 않는 선에서 정보를 수집하며 타깃에 접근하는 공격방식을 현실적으로 한번에 눈치 채기는 어려운 상황”이라고 말한다.
 
해커가 원격에서 사내 정보 탐색을 하려면 시간이 오래 걸린다. 1~2주 정도 수집한다고 해서 알게되는 것이 아니라는 것이다. 넥슨의 경우도 상당히 오랜기간 준비해서 최근에 공격한 캐이스라고 말한다.
 
김 교수는 전화 인터뷰 내내 안타까워했고 넥슨 직원들이 힘들어하는 모습을 생각하니 가슴이 아프고 남의 일 같지 않다고 진심어린 걱정을 했다. 
 
그는 “대규모 해킹사건이라 언론사에서도 관심이 많고 개인정보보호법 통과된 이후 첫 캐이스라 정부기관이 어느정도 가이드라인을 가지고 이번 사건을 보느냐에 따라 징계수위가 결정될 것”이라며 “현재 모든 기업들이 넥슨 사건이 어떤 영향을 미칠지 긴장하고 있을 것”이라고 말했다.
 
◇수사, 단기간에 결과보려다 범인놓친다=김 교수는 조사의 초점이 중요하다고 강조했다. “범죄자가 백업망에 접근권한을 가진 관리자 PC 경로를 알아냈다면 그 경로를 어떻게 알아냈을까에 조사 초점을 맞춰야 한다”며 “수사기관이나 방통위 조사단 그리고 넥슨 보안담당자도 일주일치 로그만 분석해서는 안된다. 분석의 폭을 최대한 넓혀야 한다. 단기간 분석에 그치면 진원지라고 밝혀진 것이 실제로는 경유지일 수 있기 때문에 신중하게 분석해 진짜 진원지를 알아내야 한다”고 조언했다.
 
특히 우리 사회가 기다려 줘야 한다고 강조했다. “언론에서 팩트가 나오지 않는다고 넥슨과 경찰을 푸쉬 하다보면 수사가 깊이 이루어질 수 없다”며 “심지어 해커가 현재도 공격을 진행하고 있는 와중일 수도 있기 때문에 충분한 시간을 주고 기다려 줘야 한다”고 강조했다.
 
한편 이번 사건의 색다른 점에 대해 저연령층 정보가 나간 것을 지적했다. 그는 “공격형태야 지난 해킹 사건들과 비슷할 것이다. 그런데 저연령층 정보가 나간 것은 주목해야 한다. 미성년자들은 인증할 때 부모인증을 대신해서 가입하게 된다”며 “이메일이 됐든 전화번호가 됐든 미성년자 가입에 부모동의가 필요한데 보유정보 폭이 어떤지에 따라 가족 구성원 정보가 링크될 수 있는 상황이다. 저연령층 대상으로 서비스가 이루어지는 사이트들은 신속히 대비해야 한다”고 지적했다.
 
즉 어린이들은 언론에서 아무리 떠들어도 게임하는 것이 중요한 것이지 개인정보의 중요성에 대해 인식하지 못한다. 넥슨 뿐만 아니라 동일 연령층 서비스 제공 기업들은 긴급히 비밀번호 변경 캠페인을 실시해 전체적으로 유출된 정보가 무용지물이 될 수 있도록 해야 한다는 주장이다. 게임사에서 부모 정보는 저장을 하고 있진 않지만 대비는 철저히 해야 할 것으로 보인다.
 
◇감정적 징벌 이루어지면 보안담당자들 다 떠난다=또한 김 교수는 “회사의 목소리에도 귀 기울여 줘야 한다. 정말 현업 입장에서는 막기 힘들다. 큰 사이트 경험을 해보지 않았으면 모른다. 무조건 질타와 징벌만이 능사는 아닐 것”이라며 “개인정보보호법 시행 이후 첫 집행이라고 시범케이스 차원에서 과잉징벌을 가한다면 누구도 보안담당자를 하려 하지 않을 것이다. 갈수록 해킹은 막기 힘들어진다는 인식이 있어야 하고 넥슨 건은 과잉징벌은 피해야 할 것”이라고 걱정스러워 했다.
 
즉 과잉 징벌이 이루어지면 보안 인프라 자체가 위축될 수 있다는 것이다. 능력있는 보안 담당자들 다른 곳으로 가 버린다. 넥슨의 경우도 내부보안과 게임보안, 해외 지사 보안 등 격무에 시달리며 일했는데 집요한 공격에 의해 뚫린 경우이기 때문에 개선하거나 교훈으로 삼을 필요는 있지만 감정적 징벌은 안된다는 것이다. 실력있는 보안실무자들이 대우도 좋지 않고 일은 많고 사고나면 책임까지 져야 하는 험한 보안분야를 떠나는 것이 결국 우리나라의 보안측면에는 손해라는 논리다. [데일리시큐=길민권 기자]