명의도용 재발 방지위해 본인확인 절차 다양화
막강 보안팀 운영...중국 IP 지속적으로 차단中
NC “주민번호 대체수단 조속히 개발 되길 희망”

지난 5월초, 미국 LA에서는 세계 최대 게임전시회 E3가 개최됐다. 이 자리에 참석한 엔씨소프트 김택진 사장은 당시 언론을 통해 “1998년부터 지난해까지 8년 동안 사실상 리니지와 리니지2로만 사업을 해왔지만, 이젠 개발 시스템이 완성돼 1년에 한편씩 리니지급의 대작들을 출시할 준비가 돼 있다”고 밝히고 “어떤 온라인게임이든 서비스할 수 있는 진정한 게임포털 기업으로 성장 할 것”을 강조했다.

엔씨소프트의 주력 사업은 PC를 이용한 온라인 게임사업이다. 게임산업은 또 하나의 서비스 산업에 속한다. 따라서 이용자들에게 신뢰성을 주지 못한다면 사업의 영속성은 무너질 수밖에 없다. 즉 온라인상에서 벌어지는 각종 침해사고에 대한 방어책이 없다면 온라인 게임사업 또한 사상누각에 불과하다.

엔씨소프트는 최근 개인정보 명의도용 사건과 관련해 홍역을 치르고 있다. 온라인 게임이 가지고 있는 태생적 업보가 아닐까 싶다. 한편 이번 기회를 통해 일사천리로 달려왔던 게임사들이 앞으로 가장 중점을 둬야할 부분이 무엇인지 다시 한번 생각해 볼 수 있도록 한 계기를 제공한 것도 사실이다.

이 기업 이화수 과장의 입을 통해 최근 엔씨소프트의 보안정책과 개인정보보호와 관련된 여러 가지 이야기를 들어보기로 하자.
 
Interview
엔씨소프트 CR실 PR팀 이화수 과장
 

<엔씨소프트 CR실 PR팀 이화수 과장> ⓒ보안뉴스

 
명의도용 법정공방 길어질듯...금전적 피해없어 손해배상은 무리
비밀번호 암호화-해킹방지-엠컨트롤-OTP시스템등 가동中
게임아이템 현금거래, 사회적 악영향 심해 철저히 단속
현재 법정 공방중인 ‘리니지 명의도용 사건’에 대한 리니지측의 공식입장과 이번 소송결과에 대해 어떤 예측을 하고 있나?

우선 피해를 입은 국민들께 죄송하단 말씀을 드리고 싶다. 한편으론 엔씨소프트의 의지와는 상관없이 발생한 사건으로 온라인 게임에 대한 좋지 않은 이미지가 각인될까 걱정이다. 소송문제는 항상 그렇듯 길어질 여지가 있다. 내년 아니면 내후년까지. 현재 수사가 진행중이라서 정확한 입장표명은 할 수 없는 상황이다. ‘회원가입 절차상 문제가 있지 않았나’라는 지적도 있지만 인터넷 비즈니스 사업자 대부분이 그렇듯 주민등록번호를 받고 나이와 본인을 확인한 후 가입을 승인하는 절차를 따르고 있다. 현재 정통부에서 준비하고 있는 주민번호 대체수단이 빨리 나와 이 부분에 대한 문제가 해결되기를 바라고 있는 입장이다.
또한 지난해 11월부터 1월까지 가입자가 늘어난 것은 사실이다. 하지만 회사측에서는 이 현상이 명의도용과 연결되리라고는 전혀 예상못했다. 주로 계정도용을 방지하는데 주력해왔고 명의도용을 했다는 것을 확인할 수 있는 방법도 없었다.
그리고 피해를 당한 국민들의 심정도 이해가 가지만 손해배상청구는 금전적인 피해가 발생해야만 가능한 것이다. 법조계 인사들도 그런 입장을 표명하고 있어 이 부분은 법원 판결을 기다려봐야 할 것 같다. 명의도용 피해자중 금전적 피해를 당한 사람은 없는 것으로 알고 있다.

엔씨소프트는 고객의 개인정보보호를 위해 어떤 시스템을 구축하고 있는가?

비밀번호 암호화는 계정 주인만이 비밀번호를 알 수 있도록 한 것이다. 회사 서버와 고객의 클라이언트 사이에 주고받는 패키지를 해커가 공격해 가로챈다 하더라도 해독할 수 없도록 돼 있다. 또한 엔씨 직원들도 고객의 비밀번호는 알 수 없도록 시스템화 됐다.
또한 해킹프로그램이 제거되기 전까지 리니지가 실행되지 않도록 하기 위해 게임 접속시 n-protect가 먼저 실행되기 때문에 해킹에 안전할 수 있도록 노력하고 있다.
모바일시스템 ‘엠컨트롤’은 타인이 내 계정으로 리니지에 접속하면 즉시 핸드폰으로 접속경고를 알려주는 시스템이다. 이때 핸드폰 샌드 버튼을 눌르면 리니지는 강제 종료된다. 이와 동시에 암호가 자동변경돼 도용자의 재접속을 원천차단할 수 있는 장치다.
린 OTP시스템은 업계 최초로 일회용 비밀번호를 사용하는 보안시스템을 적용한 것이다. 이 서비스를 통해 보안 로그인을 원하는 리니지 이용자들은 리니지 홈페이지 안내에 따라 가입 후 일회용 비밀번호 생성 프로그램을 본인 휴대폰에 다운받고 로그인시 휴대폰을 통해 새로운 비밀번호를 생성해 로그인할 수 있는 최상의 보안장치로 많은 이용자들이 애용하고 있다. 

엔씨의 보안팀과 보안시스템에 대해 간략한 소개를 부탁한다.

게임업계에서 최고의 보안팀을 구축하고 있다고 자부하고 있다. 정보보안팀에는 베스트셀러 해킹-보안관련 서적을 집필한 전문가와 해킹 전문가 커뮤니티에서 명성이 자자했던 고수, KISA에 근무했던 인력 등 다양한 출신의 보안전문가들이 활약하고 있다.
보안시스템은 기본적으로 웹방화벽과 네트워크 접근제어 시스템을 구축하고 있다. 총 3단계의 보안망이 게임서버와 네트워크를 보안하고 있으며 사용자의 PC에는 게임 구동시 자동으로 잉카인터넷의 게임가드가 작동되고 웹페이지 접속시에는 통신데이터를 암호화하는 키 크립트 방식의 보안 프로그램이 자동 구동된다.
뿐만 아니라 정보보안팀에서는 자체적으로 일단위, 주단위, 월단위로 전 서버의 백도어 감시, 취약점점검, 모의해킹을 실시하고 있으며 이외에도 정기적으로 년 1~2회 보안컨설팅을 실시하는 등 보안에 대한 투자에 집중해왔다.  

가입 혹은 탈퇴 절차에 대한 말이 많다. 최근 절차는 어떤가?

명의도용사건 탈퇴 처리시 본인확인을 위해 신분증사본을 요청한바 있다. 이부분에 대해 절차가 번거롭다는 지적이 있어 웹상에서 핸드폰 인증이나 신용카드 본인 인증, 공인인증서 등 다양한 루트를 개설해 놓고 있다. 탈퇴시 본인확인은 어쩔 수가 없다. 선의의 피해자가 발생하지 않도록 그리고 절차상 증빙자료가 있어야 하기 때문이다.
가입시에도 본인확인절차를 다양화하고 강화했다. 가입시 핸드폰 인증과 신용카드본인인증, 공인인증서 중 하나를 반드시 사용해야 한다. 이는 쉬운 접근성을 생명으로 하는 게임사에서 사업상 위험을 감수하고 명의도용과 같은 사건이 재발하지 않도록 실행하고 있다.

중국 해커들이 리니지 아이템으로 돈을 벌기 위해 국내 웹사이트를 해킹해 개인정보를 빼내가고 있다. 이에 대해 어떻게 생각하는가?

이에 대한 대비로 VPN업체들에 협조를 요청해 중국발 IP에 대한 업데이트를 실시하고 있으며 지속적으로 차단하고 있다. 하지만 개별회사에서 할 수 있는 부분에는 한계가 있다고 생각한다. 정부차원에서도 이와 관련 노력을 기울이고 있는 것으로 알고 있어 앞으로 개선될 전망이다.

아이템거래에 대해서도 여론이 분분하다. 엔씨의 입장은 어떤가?

기본적으로 아이템현금거래는 철저하게 막아야 한다는 입장이다. 리니지 최초 개발목적과는 전혀 동떨어진 형태로 변질되고 있어 안타깝다. 아이템현금거래는 사회에 너무 큰 악영향을 생산하고 있고 게임산업 전체를 흐리는 치명적인 것이다.
특히 한국이 심한편이다. 이를 막기 위해 웹마스터를 동원해 지속적인 단속과 함께 아이템거래 사이트에 경고 공문을 보내고 있다.
웹마스터는 24시간 게임내에 상주하면서 게임을 모니터링하고 현금거래 방지와 게임이 원활하게 운영되고 있는지를 파악하는 역할을 담당한다. 리니지에만 130여명이 활동하고 있다.
한편에서는 아이템거래가 게임사에 여러모로 이득을 주지 않는가란 의문도 있을 것이다. 하지만 큰 오해다. 온라인 게임은 6개월에 한번씩 주기적으로 대대적인 업데이트를 해줘야 한다. 여기에 막대한 비용이 들어가고 있다. 그런데 아이템거래를 위해 아이템을 생성하는 소위 말하는 작업장이나 자동프로그램을 사용하는 행위는 게임아이템을 빨리 소진시켜 업데이트 주기를 더욱 빨리 해야하는 부작용을 유발시키고 있다. 따라서 게임사에서는 더 많은 비용이 추가되고 그에 따른 사회적 이미지문제도 큰 영향을 미치고 있다고 판단돼 앞으로도 강력하게 아이템현금거래를 막기 위해 노력할 것이다. 

보안패치와 관련해서 정부와 공동작업을 실시하고 있는 것으로 알고 있다.

올해 4월 말부터 윈도우 보안패치 업데이트를 자동으로 할 수 있도록 보안패치자동 솔루션을 운영하고 있다. 리니지에 접속해 이 프로그램만 다운받으면 이용자 PC에 자동으로 보안패치가 업데이트 되도록 하고 있어 현재까지 30만건의 다운로드가 이루어진 상태다.  

리니지 이용자들에게 당부하고 싶은 말은?

PC보안상태를 항상 최적화할 것을 당부한다. 보안패치는 기본이고 백신프로그램도 최선버전으로 업데이트 하는 것을 잊지 않기 바란다. 또한 불법프로그램을 사용해 게임을 하면 그 안에 대부분 악성코드가 심어져 있는 경우가 많아 불법프로그램을 절대 사용하지 말것과 비밀번호가 노출되지 않도록 복잡하게 만들어야 하며 주기적으로 변경시켜 주는 것도 중요하다.
마지막으로 아이템현금거래와 같은 변질된 형태보다는 정말 게임을 즐기면서 할 수 있는 문화가 정착됐으면 하는 바람이다. 엔씨도 앞으로 명의도용과 같은 일이 반복되지 않도록 더욱 노력할 것이며 앞으로도 보안에 최선을 다하겠다. 
[길민권 기자(reporter21@boannews.com)] 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>