국내최대 '연계 해킹' 피해 우려

지난 25일 고객 1,320만명의 개인정보를 해킹 당한 넥슨이 계열사 간 '개인정보 돌려보기'를 하는 등 개인정보 관리에 있어서 치명적인 허점을 가지고 있었던 것으로 드러나 충격을 주고 있다. 조속한 시일 내에 조치가 이뤄지지 않을 경우 초·중·고교생 등 주 가입자인 청소년들의 주민번호 등 개인정보들이 제2ㆍ제3의 해킹으로 또다시 유출되는 피해가 나타날 것이라는 우려도 커지고 있다. ◇계열사끼리 '개인정보 돌려보기' 심각=27일 관련업계에 따르면 넥슨은 그동안 '게임하이' '네오플' 등 거대 게임업체를 인수하면서 고객의 개인정보를 따로 관리하지 않고 계열사들과 공유한 것은 물론 다른 인터넷 업체보다 과다한 정보를 수집해왔다. 넥슨의 온라인게임 '메이플스토리' 홈페이지에 회원가입을 하려면 다양한 이용약관에 동의해야 한다. 이용약관에 따르면 아이디 및 비밀번호ㆍ주민등록번호ㆍ휴대폰번호ㆍ집주소 외에 아이템 구입 등에 활용되는 은행계좌 정보, 신용카드 정보, 법정대리인 정보 등도 수집 대상이다. 특히 성별ㆍ학교ㆍ직업 등 개인에 대한 세부항목까지 포함돼 있어 개인정보를 과다 수집해왔다. 넥슨은 인터넷 개인식별번호인 '아이핀(i-PIN)'을 통한 회원가입 방식도 제공하고 있지만 아이템 결제 등 전자상거래 시에는 주민등록번호가 필수이기 때문에 아이핀 활용을 적극적으로 권장하지 않고 있는 실정이다. 넥슨 관계자는 "이용자들의 원활한 게임 이용을 위해 수집하는 정보이며 전자상거래법 등 때문에 어쩔 수 없다"고 밝혔다. 더욱 우려되는 문제는 넥슨이 이렇게 수집한 정보를 계열사들과도 공유하고 있다는 점이다. 넥슨은 '모바일 서비스 및 게임 서비스 제공'을 위해 개인정보를 넥슨모바일에서 이용할 수 있도록 하고 있다. 넥슨모바일에 제공되는 정보는 이름ㆍ생년월일ㆍ키ㆍ성별ㆍ휴대폰번호 등이며 이는 회원탈퇴 시까지 이용 가능하다. 넥슨은 계열사인 네오플에는 이름ㆍ휴대폰번호ㆍ주민등록번호 등을 제공하고 있으며 채널링 서비스 이용종료 시까지 활용이 가능하게 했다. 이외에도 현재 넥슨이 인수를 추진하고 있는 게임업체 JCE에는 '게임 서비스 제공과 이벤트 및 마케팅'을 위해 나이ㆍ이름ㆍ키 등을 회원탈퇴 시까지 제공하고 있다. 게임업계 관계자는 "넥슨은 넥슨포털을 운영하고 매년 2~3개의 게임업체를 인수하고 있어 확보한 이용자 데이터베이스(DB)만큼은 업계 최대일 것"이라며 "국내 온라인 게임 이용자들은 모두 해킹에 노출돼 있다고 봐야 하며 연계 피해도 예상된다"고 밝혔다. ◇정보유출 기업에 솜방망이 처벌=이에 따라 이번 해킹을 계기로 관련 법을 개정해서라도 처벌을 강화해야 한다는 주장이 힘을 얻고 있다. 현재 넥슨은 온라인게임 회사로 정보통신망법을 우선적으로 적용 받는다. 이에 따르면 해킹으로 수천만명의 개인정보가 외부로 유출된다 하더라도 2년 이하의 징역 또는 1,000만원 이하의 벌금이 부과될 뿐이다. 과도한 개인정보 수집 규모에 비해 그에 대한 처벌은 지나치게 약한 것. 관리감독기관인 방송통신위원회도 지난 7월 SK커뮤니케이션즈의 3,500만명 정보유출 사건직후 부랴부랴 인터넷 기업들이 함부로 주민번호를 수집하는 행위를 방지하는 내용의 마스터플랜을 마련했지만 정보통신망법 등 관련 법률개정에 속도를 내지 못하고 있어 감독소홀 비판에서 자유롭지 못할 것으로 전망된다. 임종인 고려대 정보대학원 교수는 "일련의 개인정보 해킹 문제는 법의 처벌 수위가 낮은 것 때문"이라며 "이러한 해킹 사태가 발생했을 때 최고경영자(CEO)급이 사태에 책임을 지게 하는 등 법을 강화할 필요가 있다"고 밝혔다. 한편 넥슨은 18일 해킹 사실을 인지했지만 일주일이 지난 25일에야 방송통신위원회에 신고해 늑장대응이라는 비판도 계속되고 있다.