침해사고/위협동향

넥슨, 해킹 사후대책 어떻게 세웠을까

이민형 기자
[디지털데일리 이민형기자] 지난 18일 발생한 넥슨의 대규모 해킹사건과 관련해 넥슨이 이를 어떻게 대처해갈지 이목이 모아진다.

29일 넥슨은 지난 19일 자사의 인기게임인 메이플스토리의 사용자정보 1320만건이 악성코드로 인해 유출됐고 2차 피해를 방지하기 위한 다양한 방안을 강구하고 있다고 밝혔다.

넥슨 자체조사 결과 이번 해킹사건은 고도화된 APT(지능형지속가능위협) 공격으로 조사됐다. APT 공격은 제로데이 공격을 비롯해 각종 공격기법이 사용되므로 일반적인 보안솔루션으로는 막기가 힘들다.

이와 관련 신용석 최고보안책임자(CSO)<사진>는 “이어 “지금까지 우리는 수많은 APT 공격을 받아왔고 이를 방어해왔다. 그러나 이번 공격을 막지 못해 매우 송구스럽다”며 “향후 보안사고가 발생하지 않도록 보안인력과 인프라를 대폭 확대할 것”이라고 밝혔다.

신 CSO는 보안 대책으로 ▲비밀번호 변경 캠페인 확대 실시 ▲휴면계정 보호 시스템 구축 및 즉시 적용 ▲넥슨 통합 멤버십 체계 구축 ▲정보보안에 대한 투자 강화 등을 발표했다.

이 회사 신 CSO는 “유출된 비밀번호는 암호화 돼 있으나 만일의 경우를 대비해 비밀번호 변경 캠페인을 확대할 계획이다. 메이플스토리를 시작으로 넥슨이 서비스하는 모든 게임이 동참할 것”이라며 “비밀번호 변경을 극대화하기 위한 모든 수단을 강구할 것이며, 비밀번호를 변경하지 않을 시 강제적으로 변경하도록 할 계획도 가지고 있다”고 전했다.

현재 넥슨은 비밀번호를 변경할 시 게임내 아이템을 지급하고 다양한 변경 캠페인도 진행하고 있다.

아울러 넥슨은 통합 멤버십 체계를 만들고 글로벌 보안관제센터도 구축한다는 계획도 발표했다.

신 CSO는 “내년 2분기까지 통합 멤버십 체계를 구축할 계획이며, CSO를 중심으로 글로벌 보안관제센터를 구축, 운영할 계획”이라며 “넥슨이 진출한 국가에 현재 보안인력을 채용하고 보안영역에 지속적으로 투자해 24시간, 365일 침입을 모니터링할 수 있도록 노력할 것”이라고 설명했다.

넥슨은 타임존에 따라 북미, 아시아, 유럽에 각각 관제센터를 구축해 빈틈없는 모니터링할 예정이다.

넥슨측은 다만 어느정도의 투자가 이뤄질 것인지에 대해서는 말을 아꼈다. 신 CSO는 “아직까지 내부적으로 투자범위와 금액을 조율하고 있어 정확한 수치를 밝히긴 힘들다. 조만간 발표할 수 있을 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널