특히 관련업계에서는 싸이월드 개인정보 유출 이후 행정안전부가 개인정보 유출 방지 및 2차피해 예방을 위한 인터넷상 개인정보보호 강화 방안’을 마련한 뒤 발생한 사건이어서 결과를 예의주시하고 있다.
넥슨 과실 여부의 쟁점은 첫 번째 해커의 공격수법 부분. 전문가들은 해커들이 넥슨 서버에 접근할 수 있는 내부직원 PC에 바이러스를 침투시켜 좀비PC로 만든 뒤 개인정보를 빼내 간 것으로 추정하고 있다. 따라서 방화벽을 제대로 설치했는지, 직원이 보안수칙을 제대로 따르지 않았는지가 조사대상이다.
넥슨의 늦장대응도 지적되고 있다. 넥슨측에 따르면 해커가 ‘메이플스토리’ 백업서버에 침투한 것은 지난 18일이다. 넥슨은 3일 뒤인 21일 서버에 이상여부를 파악했고 자체 조사결과 24일 해킹으로 결정 내렸다. 이틑날인 25일 방송통신위원회에 개인정보 유출을 알렸다. 사건을 인지하고 신고까지 5일 정도가 소요됐다.
일각에서는 관련 사실은 은폐하기 위한 시도가 아니었냐는 지적이 나고 있다. 해킹 파악까지 5일 정도가 소요된 점과 주말을 앞둔 금요일 오후 5시에 관련 사실을 방통위에 알렸다는 점을 들고 있다. 한편 SK컴즈는 올해 싸이월드 해킹된 당일 바로 방통위에 관련 사실을 알렸다.
만약 이 부분에 대해 넥슨측 과실이 전부 인정되면 어떤 처벌을 받을까. 방송통신위원회 개인정보보호윤리과 김광수 과장은 “만약 넥슨에게 전적으로 책임이 있다면 행정처벌과 함께 형사처벌을 받게 된다”며, “행정처벌은 과징금이 부여되는데 최고가 매출의 100분의 1이고 형사처벌은 2년 이하의 징역 또는 2000만원 이하의 벌금이 부과된다”고 말했다.
양벌조항이지만 벌금 보다 과징금 부과가 넥슨으로서는 부담이 된다. 넥슨 매출이 1조 정도 추정되니 이론적으로 최고 100억원 정도가 과징금으로 추징될 수 있다.
하지만 과거 사태를 돌아봐도 넥슨에게 이 수준의 과징금은 현실적으로 쉽지 않다. 방통위는 35만명의 개인정보가 유출됐던 한국엡손 해킹 사태에 대해 과징금 3300만원, 과태료 900만원 처분을 내린 바 있는데, 당시 한국엡손은 이용자들의 비밀번호와 주민등록번호 등을 암호화하지 않고 저장해 행정처분으로는 이례적으로 높은 금액의 추징금을 물었다.
이에 반해 넥슨은 주민등록번호와 비밀번호를 암호화했고 회사측 귀책사유도 적은 것으로 알려져 큰 처벌은 받지 않을 것이라는 게 전문가들의 예측이다.
보안업체 한 관계자는 “일단 정부가 개인정보보호를 강화하겠다고 밝힌 이후에 터진 첫 사건이라 넥슨으로서도 부담이 있겠지만, 넥슨이 관련 안전수칙을 충실히 이행했다면 큰 문제될 것이 없을 것으로 보인다”며, “벌금형으로 끝날 가능성이 높은데 그 경우라도 금액이 크진 않을 것”이라고 답했다.
[데일리게임 곽경배 기자 nonny@dailygame.co.kr]
