넥슨 V4 유저, 4개월간 최대 수백만원씩 털렸다
상태바
넥슨 V4 유저, 4개월간 최대 수백만원씩 털렸다
  • 유경표 기자
  • 승인 2020.04.28 16:25
  • 댓글 0
이 기사를 공유합니다

아이템 ‘레드젬’ 현금화 악용, 구글플레이스토어 계정 해킹
작년 말부터 계정당 수만원~수백만 원... 피해규모 철저 함구
넥슨 "책임 통감"... 유저 "해킹 터졌는데 게임상위권 자축"
"과거 1300만명 개인정보 유출 '악몽' 또 되풀이하나" 분통
모바일 MMORPG 게임 'V4' 이미지. 사진=넥슨
모바일 MMORPG 게임 'V4' 이미지. 사진=넥슨

넥슨의 인기 모바일 게임 'V4' 이용자들이 해킹으로 인한 금전적 피해를 호소하고 있는 것으로 나타났다. 이 게임 내 유료 아이템인 ‘레드젬’을 이용자 동의 없이 결제하는 방식으로 적게는 한 계정 당 수만원에서 많게는 수백만 원에 이르는 피해가 발생한 것으로 확인됐다. 

이는 ‘레드잼’의 현금화가 타 게임에 비해 비교적 쉽다는 점을 악용한 것으로 보인다. 24일 업계 및 넥슨에 따르면 지난해 말부터 올해 3월경까지 V4 이용자들을 대상으로 한 해킹범죄가 잇따라 발생했다. 해당 사실을 인지한 넥슨 측은 지난 1월 경기남부경찰청에 수사의뢰를 한 것으로 전해졌다. 

해커들은 구글플레이 스토어에 등록된 V4 이용자들의 계정을 도용하는 전형적인 수법을 쓴 것으로 보인다. 이용자들의 구글플레이 아이디와 비밀번호만 확보하면 게임 내에서 유료 아이템의 결제가 가능하다는 점을 노린 것이다. 

이를 통해 해커들은 각 계정과 연결된 신용카드 등 결제수단을 통해 수십차례에 걸쳐 소액결제하는 방식으로 ‘레드잼’을 사들였다. 이번 피해는 구글 플레이스토어에 한정됐으며, 애플 앱스토어에선 피해가 발생하지 않은 것으로 확인됐다. 

카드결제 내역 확인을 통해 피해를 확인한 이용자들의 경우, 거래일로부터 120일 이내에 구글측에 ‘미승인 구매 신고’를 하면 돈을 돌려받을 수 있다. 구글에서는 해킹 피해 최소화를 위해 추가 본인확인이 필요한 ‘2단계 인증’을 설정해놓을 것을 권장하고 있다.  

V4 해킹 피해를 호소하고 있는 이용자들. 사진=구글플레이스토어 캡쳐
V4 해킹 피해를 호소하고 있는 이용자들. 사진=구글플레이스토어 캡쳐

◆ 이용자들 "유독 V4에 해킹피해 집중... 넥슨측 대응에 실망"

이번 사건에대해 넥슨 관계자는 “구글플레이라는 플랫폼에서 V4 이용자 계정이 도용당해 일어난 것이 원인”이라면서도 “V4는 당사가 서비스를 제공하는 게임인 만큼, 해킹 피해의 책임을 통감한다”는 입장을 밝혔다.

넥슨측은 해킹 피해건수 및 피해 액수에 대해선 함구했다. 현재 수사기관과 협조해 계정 도용 피해 사례를 조사하고 있는 단계이고 모방범죄 등의 가능성이 있는 만큼, 구체적인 피해 사례를 밝히기 어렵다는 입장이다.  

다만, “도용된 계정으로 금전적 피해가 발생한 부분에 대해선 최대한 환불토록 조치하고 있는 상황”이라며 “유료 아이템의 불법적인 현금화를 끝까지 추적해 이용 정지하는 한편, 게임 내 아이템 거래소 기능 강화와 불법 프로그램의 원천 차단 노력을 지속하고 있다”고 설명했다. 

하지만 해킹 피해를 진화하기 위한 넥슨측의 이 같은 노력에도 불구하고 이용자들은 넥슨과 ‘V4’에 대한 신뢰를 잃고 있는 모양새다. 이번 해킹 피해가 유독 ‘V4'에 집중된 탓이 컸기 때문으로 풀이된다.

트위터 등 SNS를 비롯한 인터넷 커뮤니티 등에선 'V4‘ 이용자들이 저마다 해킹 피해 사례를 공유하며 성토하는 목소리가 끊이지 않고 있다. 

한 이용자는 “새벽에 11만원씩 30번씩 결제돼 300만원의 피해를 입었다”며 “구글에 문의했는데 일주일이 걸린다는 답변을 들었다. 막막하다”고 호소했다. 다른 이용자도 “해킹으로 결제된 게임이 대부분 V4인데 이정도면 문제가 있는 것이 아닌가 싶다”는 반응을 내놨다. 

한 커뮤니티에 올라온 글에선 “타 모바일 게임에비해 V4의 현금화가 더 쉽고 금액도 크다고 한다”며 “연말부터 매일 해킹사건이 터졌는데도, 넥슨에서는 유료매출게임 상위권에 올랐다고 자축하고 난리였다”고 꼬집기도 했다. 

온라인 커뮤니티에서 이용자들이 해킹 피해를 토로하는 모습. 사진=V4 네이버 공식카페 캡쳐
온라인 커뮤니티에서 이용자들이 해킹 피해 경험을 공유하고 있다. 사진=V4 네이버 공식카페 캡쳐

◆ 넥슨 게임 타겟삼아 매번 되풀이되는 해킹... 근본적인 예방 대책 없나

넥슨은 우리나라를 대표하는 ‘3대 게임사’ 중 한 곳으로 꼽힌다. 그만큼 자본이나 규모 면에서 국내 최대를 자랑하고 있다. 그러나 보안 면에선 유독 좋은 평가를 듣지 못하고 있는 실정이다. 

과거부터 꾸준히 해킹 피해가 되풀이 돼 왔는데도 매번 맥없이 보안이 뚫리는 모습은 넥슨에 대한 신뢰를 크게 실추시키는 요인으로 작용하고 있다. 

넥슨은 2006년 온라인 롤플레잉 게임 ‘마비노기’를 서비스하던 시절부터 해킹피해로 몸살을 앓아왔다. 당시에도 게임 계정 아이디와 비밀번호를 해킹해 게임 아이템을 팔아치우는 수법으로 피해를 입은 이용자들이 속출했다. 

2011년에는 넥슨의 인기 온라인 게임 ‘메이플스토리’에 가입한 1320만명의 이름과 아이디, 비밀번호, 주민등록번호가 유출되는 역대 최대의 해킹 사건으로 곤혹을 치르기도 했다. ‘메이플스토리’의 전체 가입자 수가 1800만명 가량이었음을 감안하면, 완전히 털린 것이나 다름없는 전대 미문의 사건이었다. 

당시 다음 아고라 청원 사이트에서는 해킹 피해자들이 넥슨측에 진실규명을 요구하는 서명운동을 벌이는 진풍경이 벌어지기도 했다. 넥슨측이 당해 11월 18일 해킹이 발생했음에도 일주일여가 지난 25일에서야 해킹사실을 신고하는 등 미흡한 대응으로 일관했다는 이유에서였다.  

넥슨은 매년 개인정보 보호를 위한 보안대책을 쏟아냈지만 그 뿐이었다. 갈수록 고도화되는 해킹 수법 앞에는 무력했다. 주로 해외에 거점을 둔 해커들은 마치 비웃기라도 하듯 매번 넥슨의 보안 시스템을 유유히 빠져나갔다.   

이번에 발생한 V4 해킹 사건의 경우, 구글플레이라는 플랫폼에서 서비스되고 있어 과거 넥슨이 직접 서버를 운영하던 시절의 해킹사례와는 조금 다른 양상을 띄고 있다. 보안 책임이 넥슨보다는 구글측에 좀 더 집중되는 구조여서다. 

그러나 넥슨이 과거 해킹 피해 경험을 거울삼아 선제적인 피해방지 대책을 세우지 못했다는 점은 뼈아프다. 나아가 서비스 운영과 관리감독 역량이 아직 미흡한 수준에 그치고 있다는 비판으로부터도 자유로울 수 없다는 지적이다. 



주요기사
이슈포토