온라인게임 해킹 대책 무용지물..소비자만 궁지로

# 부산 수영구 수영동에 사는 전 모(남)씨는 최근 평소 즐겨하던 온라인 스포츠게임에 접속했다가 그동안 약 150만 원 어치 아이템을 구입해 만든 팀이 몽땅 사라진 사실을 알게 됐다. 3주 전 출장가기 전에 접속한 뒤로 한 동안 들어가지 않은 사이에 해킹을 당한 것으로 추정돼 고객센터로 문의했지만 게임사 구제 신청기간(해킹일자 기준 2주)이 지나 복구가 불가능하다는 입장이 전달됐다. 전 씨는 "기술적 한계가 있는 것인지 아니면 게임사 자의적 판단인지 이용자만 손해 볼 수밖에 없는 구조"라고 한탄했다.

# 충북 괴산군 연풍면에 사는 김 모(남)씨는 자주 접속한 한 온라인 MMORPG(대규모 사용자 온라인 롤 플레잉 게임)를 즐기다가 지난 10월 중순 경 해킹을 당해 아이템과 돈을 한 꺼번에 잃었다. 당시 교육때문에 2주 정도 접속 하지 않았는데 그 사이 해킹이 발생한 것. 게임사에선 해킹 바로 전 단계로 돌려주는 '롤 백'이 아닌 아이템을 추적해 돌려주겠다고 했지만 며칠 뒤 김 씨가 받은 것은 가치가 떨어지는 아이템 몇 개가 전부였다. 그는 "피해자가 한 둘이 아닐텐데 이런 식의 대처는 아닌 것 같다"고 고개를 가로저었다.

# 서울 강남구 대치동의 윤 모(남)씨 역시 일주일 만에 한 온라인 RPG(롤 플레잉 게임)에 접속했다가 아이디가 영구정지된 것을 알았다. 게임사 GM(게임 마스터)으로부터 온 답변은 '아이디 도용으로 인한 영구 계정정지', 다시 말해 해킹을 해서 접속 권한이 사라졌다는 것. 적발된 서버는 윤 씨가 한 번도 접속하지 않은 곳이라 해킹 경위 등을 물어봤지만 영구정지 계정이라 파악하기 힘들다는 답이 전부였다. 윤 씨는 "해킹했다는 누명을 쓰게 된 것도 억울한 데 해킹 가해자라는 이유로 아무런 정보도 주지 않고 있다"고 분통을 터뜨렸다.

온라인 게임에서 피할 수 없는 '해킹' 문제에 대한 게임사의 소극적인 대처가 도마 위에 올랐다.

넥슨, 엔씨소프트, 한게임, 네오위즈 등 국내 주요 온라인게임사별로 해킹 피해 발생 시 소비자 대응 매뉴얼을 구축하고 프로그램을 운영하고 있지만 복구 신청기간이 짧은데다 피해 사실 입증이 쉽지 않아 제대로 복구되지 않는 경우가 허다하다.

복구는 커녕 해킹 피해자가 오히려 가해자로 오인받아 계정정지 당하는 경우도 적지 않아 이용자들만 두번 울게 되는 셈이다.

올해 소비자가만드는신문에 접수된 '온라인 게임 해킹구제' 관련 소비자 피해 제보건수는 94건이다. 게임 해킹은 개인정보를 빼내 금융범죄 등 타 분야 범죄로 악용하는 사례와 아이디 해킹으로 전자화폐 혹은 아이템을 탈취하는 것이 대표적이다.

해킹으로 인한 물질적 피해는 물론 개인정보 탈취로 인해 파생되는 다른 범죄들로도 이어져 구제와 재발방지가 필수적이지만 해킹 수법이 지능화되면서 소비자들만 궁지로 내몰리고 있다.

◆ 구제신청기간 놓치면 땡~...해킹 원인 이용자가 입증해야

현재 다수 온라인 게임 업체들의 해킹 피해 구제 신청기간은 2주. 이 기간이 경과되면 피해구제를 받기 어렵다.

실제로 해킹 구제 관련 불만 제보 중 상당수가 신청 기간이 너무 짧아 구제를 받지 못했다는 내용이다. 출장이나 장기여행 등 2주 이상 게임 접속을 하지 않다가 느닷없이 해킹 피해를 인지하더라도 이미 복구 신청기간이 끝나버려 아무 도움을 받을 수 없게 되는 것.

반면 게임사 측은 '2주'라는 기간은 명목상 기준으로 해킹 여부가 명백할 경우 기간 경과 후에도 복구가 가능하다는 입장이다.

업계 관계자는 "기술적 한계나 게임사의 편의에 의해 자의적으로 설정한 기준이 아니라 구제 프로그램을 운영하면서 보편적인 기준이 필요해 설정한 수치가 2주다. 2주가 지나더라도 내부 논의 후 구제도 가능하다"고 답했다.

하지만 게임사에서 말하는 '내부 논의'절차에 대해 각 사 별로 절차를 공개하는 경우가 드물고 대부분 GM(게임 마스터)에 의한 일방적인 통보로 끝나 항변권을 이용해 반론을 제기하더라도 사실상 구제받기란 어렵다.

책임 소재가 모호하다는 점도 문제를 키우는 요인 중 하나다.

대부분의 해킹은 온라인 계정 정보를 몰래 알아내 아이템과 전자화폐를 훔쳐 달아나는 경우인데 콘텐츠 분쟁조정위원회 고시 자료에 의하면 '해킹 당한 재화를 배상 받는 것은 불가능하다'고 판단하고 있다.

일반적으로 게임사들이 약관에서 아이디와 비밀번호 관리 의무를 이용자에게 부여하고 있기 때문에 이에 대한 손해는 이용자가 감당해야 한다는 것이다. 다만 운영사 서버 자체가 해킹당했다면 업체 측에 책임이 넘겨질 가능성이 있다고 단서를 뒀다.

그러나 실제 피해 발생 시 해킹 피해여부와 해킹 원인을 이용자에게 입증할 것을 요구하는 경우가 많고 약관상 구제 관련 구체적인 항목조차 찾아볼 수 없어 해킹으로 인한 피해 복구는 '산 넘어 산'이다.

◆ 'OTP 의무화'등 보안 대책 결국 무용지물...객관적 구제 기준 마련돼야

게임사들이 두루뭉술한 규정을 앞세워 피해 구제에는 발을 빼고 있다는 지적에 대해 업계 측은 해킹 피해를 최소화하기 위한 노력을 꾸준히 해왔다는 항변이다.

지난 2006년 엔씨소프트의 '리니지'가 업계 최초로 'OTP(One Time Password, 일회용 비밀번호 인증방식)'를 도입해 해킹이 가장 많이 발생하는 로그인 절차를 한층 강화했다.

OTP는 일회용 비밀번호를 무작위로 선정해 접속할 때마다 비밀번호가 바뀌는 보안 프로그램으로 개인정보 유출 우려가 높은 금융업계에서도 가장 보편화된 인증 방식.

이후 많은 제작사에선 OTP 보안설정을 하지 않은 이용자에 대해선 해킹 피해 구제신청 대상에서 제외하거나 일부 제한을 두는 'OTP 의무화' 정책을 적용하고 있다.

'3개월마다 비밀번호 변경 정책'이나 보안패치 및 정기적인 백신 보안 검사 등을 이용자에게 주문하고 있지만 번거로운 절차때문에 누락하는 이용자들 역시 많은 것은 사실.

업체 관계자는 "매 번 되풀이하는 답변이지만 게임사도 해킹으로 피해를 보고 있고 보안 개선에도 노력하고 있다"면서 "하지만 이용자들이 개인정보 보호에 소홀히한다면 게임사도 달리 방법이 없다"고 난색을 표했다.

하지만 최근 '메모리 해킹'과 같은 변종이 성행하면서 OTP 등 보안책이 무기력하게 뚫려 버리는 실정이라 새로운 대안 마련이 시급하다는 과제가 놓여 있다.

이제는 해킹 자체를 막을 수 있는 예방법이 없다는 사실을 인정하고 피해 시 구제 기준 및 범위 등에 대한 객관적 기준이 마련되어야 한다는 요구의 목소리가 높다.

[소비자가 만드는 신문 = 김건우 기자]