수사 답보·넥슨 늑장신고 의혹 등 의문점 산적
넥슨의 온라인게임 ‘메이플스토리’ 회원 1320만명의 개인정보가 유출된 지 10일이 지났지만 수사는 제자리 걸음을 걷고 있다. 특히 풀리지 않은 의혹이 남아있다.
넥슨은 메이플스토리의 백업서버 해킹으로 1800만명의 회원 중 1320만명의 이름과 ID, 암호화된 주민등록번호, 비밀번호 등이 유출됐다고 지난달 25일 방송통신위원회에 신고했다. 경찰청 사이버테러대응센터는 현재 넥슨에 악성코드가 침입한 경로와 데이터베이스(DB) 유출 경로 등을 조사하고 있으며 내부적으로 정리가 되는 대로 중간발표를 할 예정이다.
◇넥슨 수사 왜 더딘가= 방송통신위원회와 경찰청은 넥슨의 해킹 사고 원인 및 대응 방법에 초점을 맞춰 조사를 진행 중이다. 하지만 10일이 지난 지금까지 경찰의 수사 진도가 좀처럼 나가지 못하고 있다.
네이트 해킹 때 사고가 발생한 지 약 2주 뒤 보안업체 이스트소프트의 공개용 ‘알집’ 서버를 이용한 중국발 해커의 공격으로 추정된다는 경찰의 중간 수사 결과가 나온 것과는 대조적인 모습이다.
이에 대해 방통위 고위 관계자는 “현재 조사를 진행 중인데 내부 경로를 밝히려면 로그 분석, 서버 분석 등이 필요하다”며 “하지만 해킹이 발생한 시점의 현장보존이 제대로 이뤄지지 않아 복원이 쉽지 않은 상태”라고 말했다.
그는 이어 “자료가 많이 없어 수사 속도가 좀 느리지만 넥슨이 기술적ㆍ관리적 보호조치를 이수했는지 지체없이 신고했는지 등에 대해 철저히 조사하고 있다”고 덧붙였다.
◇넥슨, 과연 ‘지체없이’ 신고했나= 지난 7월 발생한 네이트 해킹 사고와 이번 넥슨 해킹 사고의 가장 큰 차이점은 개인정보보호법 적용 유무다. 네이트의 경우 개인정보보호법이 발효되기 전이어서 정보통신망법의 적용을 받았지만 넥슨은 개인정보보호법의 규제 대상이 된다.
개인정보보호법상 보안사고 발생 후 ‘지체 없이’ 신고해야 한다고 명시돼 있는데 넥슨이 이를 제대로 이행했는지가 가장 논란이 되고 있다. 현행법상 이를 어길 경우 3000만원 이하의 과태료에 처한다.
넥슨은 지난달 21일 정기점검 과정에서 이상징후를 발견, 자체 조사를 통해 3일 전인 18일에 해킹이 발생한 사실을 인지했다. 또 개인정보 유출사실을 24일 최종확인하고 이튿날인 25일 해당사실을 방통위에 신고하고 이용자들에게 공지했다.
이에 대해 전문가들은 넥슨이 사고가 난 것을 안 이후 지체 없이 신고했는지에 대해 해석상의 논란이 있을 것으로 보고 있다.
김승주 고려대 정보보호대학원 교수는 “‘지체 없이’라는 문구는 정보가 밖으로 나가기 시작했다면 유출되는 정보에 대해 관련 네트워크를 끊어놓고 나서 바로 신고하는 것 등의 즉시성을 포함하는데 인지 시점과 신고 시점 간격이 너무 오래 걸렸다”고 말했다.
김광수 방통위 개인정보보호윤리과장은 “개인정보보호법상 규정에는 ‘지체 없이’ 신고하라는 문구가 들어있지만 과태료 처벌 조항에는 미통지시 처벌 받는 것으로 돼 있어 법령 해석과정에서 모호한 부분이 있다”며 “이용자들의 정보보호가 가장 중요하기 때문에 넥슨이 신고를 고의로 지연했는지 여부를 면밀히 조사할 것”이라고 강조했다.