▲ 넥슨도 해킹 소동에 휘말렸다. <그래픽 비즈니스포스트>
단순 장난성 공격으로 일단락된 분위기이지만 시스템 일부가 비정상적으로 노출되며 게임업계의 보안수준에 대한 이용자 불안을 키웠다.
7일 넥슨의 홈페이지 공지에 따르면 지난달 31일 넥슨의 대표 모바일 게임 ‘블루 아카이브’ 한국과 글로벌 서버에서 해커 공격으로 게임 클라이언트와 연동된 환경 설정 일부가 변경되고 콘텐츠 일부가 비정상적으로 노출되는 현상이 나타났다.
구체적으로 인게임 콘텐츠 ‘카페’ 방문 캐릭터가 모두 특정 캐릭터로 바뀌는 사건이 발생했다. 장난기가 강한 캐릭터가 사용된 점을 고려할 때 단순 장난성 공격으로 파악됐다. 넥슨은 이튿날 긴급 점검을 실시해 “데이터 및 개인정보 유출은 없었다”고 공지하며 사태 수습에 나섰다.
이어 “보안 절차 강화를 진행하는 동시에 한국인터넷진흥원(KISA)에 신고해 공격자 조사를 진행 중”이라고 밝혔다. 2일 공개된 조사 결과에 따르면 외부에서 CDN(콘텐츠전송네트워크)에 비정상 접근해 발생한 해킹으로 확인됐다.
CDN은 분산 서버를 통해 게임 클라이언트나 대용량 콘텐츠를 빠르게 전달하는 기술이다. 접속 병목을 줄여주는 역할을 수행해 동시 접속자가 급격히 몰리는 경우가 있는 게임사로서는 핵심 인프라이지만, 해킹될 경우 CDN을 활용하던 게임사와 다수 이용자들의 기기가 한꺼번에 악성코드에 노출될 위험이 있다.
이번 사건은 금전적 피해나 개인정보 유출로 이어지지 않았다. 해커도 개인 서버에 “넥슨과 MX 스튜디오에게 사과한다”며 “이 외에 발견한 다른 취약점을 공유하겠다”는 메시지를 남기며 사태는 일단락된 것으로 보인다.
▲ 사진은 블루 아카이브의 카페 방문 캐릭터가 모두 특정 캐릭터로 바뀌어 있는 장면. <온라인 커뮤니티 갈무리>
업계 관계자는 “이미지 소스 변조나 악성코드 유포로 악용됐다면 치명적 피해로 이어질 수 있었다”고 말했다. 일부 이용자들도 “장난에 그쳤지만 나쁜 마음을 먹고 저질렀다면 게임사 전체에 큰 피해로 이어질 수 있었다”는 등 반응을 보였다.
게임업계는 그간 해커들의 주요 표적이 되어온 만큼 높은 보안수준을 갖추고 있으며, 대형사인 넥슨은 업계 내에서 가장 많은 보안 투자를 집행하는 회사로 꼽힌다.
게임사 특성상 소액결제가 빈번하고 개인정보·금융정보가 저장돼 있으며 게임 내 화폐나 계정 자체도 높은 가치를 지니고 있기 때문이다.
KISA 정보보호 공시에 따르면 넥슨코리아는 지난해 정보보호 부문에 228억 원을 투자했으며 이는 2023년(158억 원) 대비 43% 증가한 수치다. 주요 IT 기업과 비슷한 규모로 금융권 못지않은 수준이라는 평가를 받아왔지만 이번 사건으로 보안 허점이 노출된 셈이다.
업계 관계자는 “최근 대규모 해킹 사건이 사회적 이슈로 떠오른 만큼, 이번 건도 자칫하면 피해 규모와 파급력이 평소보다 클 수 있었다”면서 “다행히 금전적 피해나 개인정보 유출로 이어지지 않고 마무리된 건 다행이지만 보안 체계를 재점검하는 기회로 삼아야할 것”이라고 말했다. 정희경 기자
