[디지털데일리 이안나 기자] 최근 통신·온라인쇼핑 등에서 이용자 계정 탈취·도용 공격이 급증하자 이커머스 업계가 정보보안 강화에 주목하고 있다. 이에 개인정보보호위원회와 오픈마켓·셀러툴 사업자들이 모여 조치방안을 논의했다. 그런데, 이 자리에 게임 산업군인 엔씨소프트가 참여했다.
7일 개인정보보호위원회는 서울 송파구 소재 롯데온 회의실에서 오픈마켓과 셀러툴 분야 민관협력 자율규제 규약 참여사와 함께 간담회를 개최했다. 본격적인 논의에 앞서 박의원 엔씨소프트 개인정보보호실 실장이 참석해 회사 보안 시스템에 대해 소개했다. 박 실장은 과거 지마켓에서도 15년간 개인정보·정보보안을 담당했다.
앞서, 지난 1월 인터파크·지마켓은 해커로부터 ‘크리덴셜 스터핑’ 공격을 받았다. 이는 기존에 다른 곳에서 유출된 아이디와 비밀번호를 여러 웹사이트나 앱에 무작위로 로그인해, 개인정보나 자료를 유출하는 수법이다.
박 실장은 “크리덴셜 스터핑은 방어하는 사람 입장에선 탐지하기가 정말 어렵다”며 “초창기엔 해외IP가 많아지고 짧은 시간 대량 접속되는걸 모니터링하면 됐지만, 최근 공격자들은 클라우드를 사용하는 데다 시간 텀도 두고 정말 많은 아이디를 사용하고 있기 때문”이라고 전했다.
게임 업계에선 해킹이나 크리덴셜 스터핑 공격을 약 15년 전부터 겪어왔다는 게 박 실장 설명이다. 특히 리니지 같은 게임은 사용자가 캐릭터 육성을 위해 시간과 비용, 에너지를 들인다. 이런 계정을 한순간 해킹으로 잃게 되면 사용자들은 강한 분노를 느끼게 된다.
엔씨소프트는 사용자 계정 보호 정책과 관련해 투명성과 선택권 제공이라는 두가지 원칙을 갖고 있다. 모든 정보는 최대한 고객들에게 투명하게 공개하고, 사용자가 선택할 수 있는 보안서비스를 제공하는 방식이다. 가령 엔씨소프트 이용자들은 로그인 기록은 물론 게임과 연결된 모든 활동 기록을 확인하고, 자신이 접속한 게 아니면 종료시킬 수 있다.
고객이 선택할 수 있는 보안 서비스는 ▲엔씨 인증 ▲OTP 기기 등록 ▲캐릭터 비밀번호 설정 등이다. 다만 엔씨소프트가 직접 만든 엔씨 인증은 예상보다 사용률이 저조하다는 분석이다. 여러개 게임을 하는 사용자들이 각각 게임 OTP를 받기엔 범용성이 떨어지기 때문이다. 실제 사용자들이 많이 이용하는 서비스는 기기등록이다.
크리덴셜 스터핑 공격을 막기 위해 엔씨소프트는 구글 ‘리캡차’ 서비스를 이용 중이다. 엔씨소프트 개발자가 3000명, 정보보안 인원만 100명이 넘어간다. 그럼에도 불구 구글 서비스를 선택한 건 ‘운영 효율성’ 때문이다.
박 실장은 “모니터링 시스템을 만들어 운영하는 덴 굉장히 많은 리소스와 수고가 들어가고, 공격자가 공격 패턴을 바꾸면 우리도 계속 바꾸며 발전시야 하는데, 그때마다 들어가는 리소스가 만만치 않다”며 “이에 엔씨소프트는 과감히 자체 시스템을 버리고 서드파티 솔루션을 쓰기로 결정했다”고 언급했다.
또한 크리덴셜 스터핑 공격으로 로그인이 됐다 하더라도 도용할 정보가 없도록 개인정보 최소 수집 원칙을 지키고 있다. 로그인 하고 볼 수 있는 정보는 핸드폰 번호와 이메일 주소 뿐인데 이마저 마스킹 처리했기 때문이다.
그는 비밀번호 없이 계정을 만드는 ‘패스워드리스’ 방식을 전향적으로 도입했으면 좋겠다는 의견도 내비쳤다. 크리덴셜 스터핑 공격이 가능한 건 결국 고객이 똑같은 아이디와 비밀번호를 여러 사이트에서 쓰고 있기 때문이다. 비밀번호가 아닌 다른 방법(생체인식·인증서 등)으로 사용자 신원을 확인하게 되면 사용자는 복잡한 비밀번호를 외울 필요, 사이트마다 동일한 비밀번호를 쓸 일도 없어진다.
개인정보위 관계자는 “최근 계정 도용이나 2차 피해가 발생하면서 실제 플랫폼 입장에서 어떻게 대처하면 좋을지 방법을 이 자리에서 논의해봤으면 좋겠다는 취지로 게임업계를 초청했다”며 “비즈니스모델은 온라인쇼핑 분야와 다르지만 다른 업계 사례를 들어보고 인사이트를 얻을 부분은 취지”라고 전했다.
이어 “패스워드리스는 우리도 가고 싶은 방향 중 하나고, 실제 그 방향으로 가겠다고 하면 기술적·관리적 보호조치 기준을 얼마든지 개정할 수 있다”고 덧붙였다.