[일요서울 | 조택영 기자] NC소프트의 대표 게임격인 ‘리니지1’에서 명의도용을 당했다는 피해자가 속출하는 모양새다. 리니지1의 명의도용 문제는 어제오늘 일이 아니다. 지난 2006년에는 명의도용 피해자 1만여 명이 NC소프트와 김택진 대표에게 손해배상 소송을 내기도 했다. 물론 법원은 2007년에 명의도용 행위자-회사‧김 대표와의 직접적인 관계가 없어, 피해를 보상할 책임이 없다며 NC소프트 측의 손을 들어줬다. 그러나 10년 이상이 지난 시점에도 똑같은 문제가 떠오르고 있어 NC소프트 측의 회원가입 절차‧보안 체계 등이 허술하다는 지적이 나오는 형국이다.

나도 모르는 사이, 아이디만 5개 이상···본인 확인 절차 어떻게 뚫었나

리니지1은 1998년 9월 출시된 PC 온라인 게임이다. 론칭 15개월 만에 회원 100만 명을 돌파한 이력을 가지고 있다. 리니지1은 NC소프트의 대표 게임으로 아직까지도 많은 회원 수를 보유해 효자 노릇을 톡톡히 하고 있다. 지난해에는 출시 22년 만에 FHD 그래픽으로 리마스터한 ‘리니지 리마스터’로 탈바꿈 했다.

그러나 리니지1은 오랫동안 짊어지고 있는 문제가 있다. 바로 명의도용 피해다. 명의도용 행위자는 피해자의 개인 정보를 불법으로 습득해 리니지1 회원가입을 한다. 이렇게 가입한 아이디로는 속칭 ‘작업장(자동사냥)’을 돌리며 습득한 아이템‧게임머니를 거래로 현금화하는 것이다.

해킹과는 다르다?

기존에 보유한 아이디를 해킹하는 것과는 개념이 다르다. 본인이 모르는 사이에 자신의 명의로 여러 아이디가 가입돼 있는 것이다. 명의도용 피해자 중에는 리니지1 게임을 접해본 적도 없는 사람이 많다.

제보자 A씨는 지난해 말, 한 온라인 커뮤니티에서 리니지1 명의도용 피해를 입었다는 게시물을 접하고 NC소프트에 접속해 본인 명의의 계정 조회를 해 봤다. 22년이나 지난 게임이지만 A씨는 리니지1을 접해 본 적이 없었다. 그러나 계정 조회를 해 보니 무려 5개의 아이디가 자신의 명의로 가입돼 있었다.

A씨는 본인 확인을 거쳐 해당 아이디들의 정보를 조회해볼 수 있었다. 아이디 내에는 캐릭터가 30~60 레벨가량으로 키워져 있었다. 서버도 여러 개였다. 심지어 한 아이디에는 OTP(일회용 비밀번호) 서비스까지 활성화돼 있었다. OTP는 아이디의 보안을 강화하기 위해 도입되는 시스템으로, 서비스 가입 시 본인 확인 절차가 필수다. 그러나 A씨는 아이디를 접속해 본 적도 없고, 자신의 휴대전화에 OTP 서비스 가입, 리니지1 회원가입 본인 확인 등의 안내 메시지를 한 번도 수신한 적이 없다고 했다. 본인 확인 절차 없이 계정 가입이 된 데다, OTP 서비스까지 가입됐다는 것은 아이러니한 일이다. 명의도용 행위자가 A씨의 명의로 대포폰을 만들어 본인 확인 및 회원가입을 했을 가능성도 존재한다. 결국 A씨는 모든 아이디에 대해 비밀번호 찾기 서비스로 비밀번호를 찾았다. 이후 접속을 한 뒤 일일이 탈퇴해야 했다.

피해 사례, 한둘 아냐

A씨와 같은 사례를 겪었다는 사람은 한둘이 아니다. 특히 2017년부터 지난해까지 피해를 당했다는 글이 온라인 커뮤니티, 블로그 등에 집중적으로 올라왔다.

지난 2017년 6월 한 온라인 커뮤니티에는 ‘NC소프트 아이디 한번 검색해보라’는 제목의 피해글이 올라왔다. 작성자는 “중국인들이 님들 캐릭터를 키워놓았을 것”이라며 “캐릭터 정보에 들어가면 현재 장비도 보인다. 혹시 모르니까 (계정 조회를) 해 보라”고 설명했다.

해당 게시물에는 “리니지를 해 본 적도 없는데 (계정이) 영구정지네”, “난 얼마 전에 OTP가 정상적으로 신청됐다는 메일이 왔다”, “장기 미이용 계정만 넷이네”, “레벨 37짜리 요정이랑, 22짜리 요정이 있네. 계정 하나는 장기 미이용 계정이고”, “헐 (아이디가) 24개나 있어”, “단체로 촛불집회 한 번 해야 되는 것 아니냐”, “죄다 최종접속일이 2016년 11월이다” 등 427개의 댓글이 달렸다. 댓글을 단 누리꾼 대다수가 자신도 피해를 당했다고 호소했다.

지난해 다른 여러 커뮤니티에도 “NC소프트에 가입한 적이 없는데 계정 변경 신청 메일이 왔다”, “누가 내 NC소프트 아이디 비밀번호 변경했다고 메일이 날아왔다”, “NC소프트에 저도 모르는 아이디가 있다. 개인정보가 털렸나 보다. 어떻게 많은 아이디를 만들었고, 어떻게 인증한 건지...” 등의 피해 호소글이 잇따랐다.

이처럼 리니지1 명의도용 피해가 지속되고 있다. 명의도용 피해 논란은 어제오늘 일이 아니다. NC소프트는 지난 2006년에도 30만 건이 넘는 명의도용 피해 사례가 접수돼 골머리를 앓았다. 당시 경찰은 명의도용된 아이디 대부분이 중국에서 만들어졌다고 밝혔다.

1만 명이 넘는 피해자들은 NC소프트, 김택진 대표를 상대로 손해배상 청구소송을 냈다. 금액은 1인당 100만 원씩 총 85억 원이 넘는다. 그러나 2007년 재판부는 NC소프트가 명의도용 사건의 중심일지라도, 명의도용 행위자와 NC소프트‧김 대표 간의 직접적인 관계가 없어 피해를 보상할 책임이 없다며 NC소프트 측의 손을 들어줬다.

A씨는 “아무리 NC소프트 측이 과거에 승소했고, 잘못이 없다고 판가름 났더라도 이를 계기로 취약한 점을 보완하는 게 당연한 절차 아닌가. 그러나 그때와 동일하게 피해를 봤다는 누리꾼이 넘쳐나는 상황”이라며 “도대체 내가 동의한 적도 없고, 인증 절차를 거치지도 않았는데 어떻게 내 명의로 아이디를 만들 수 있는 것인가. NC소프트 측은 이런 얘기가 어제오늘 일이 아닌 줄 알고 있을 것이고, 어떤 조치를 취하고 있는지도 의문”이라고 지적했다.

한 업계 관계자도 “쉽게 넘길 만한 일이 아니다. 보안 체계에 구멍이 뚫린 것이나 다름없다”고 설명했다.

기자는 NC소프트 측에 “과거에 비해 보완된 점”, “내부 분석 결과 명의도용은 어떻게 이뤄지는지”, “OTP는 본인 확인이 더 까다로운 서비스일 텐데 어떻게 가입이 가능했는지”, “어떤 방식으로 피해 예방‧구제를 하고 있는지”, “아직도 피해자가 많은데 어떻게 대응할 입장인지” 등 다양한 질문을 던졌다.

NC소프트 측 관계자는 일요서울에 “명의도용은 제3자가 인터넷상의 개인정보를 도용해, 타 서비스사의 회원가입을 진행하는 등의 행위를 말한다. 회사의 고객정보가 유출되거나 도용된 것은 전혀 아니다”라며 “보안서비스 OTP는 휴대전화 본인 확인 과정을 거쳐야 이용 가능한 서비스다. NC소프트는 정보보안 및 개인정보 관리를 위해 국내외 인증을 받았다. 이를 통해 고객의 개인정보보호 활동을 체계‧지속적으로 수행하기 위해 필요한 보호조치 체계를 유지하고 있다”고 말했다.

그러면서 “고객 개인정보 보호 및 보안 지식 강화를 위해 주기적으로 보안가이드를 이용자들께 정기적으로 안내하고 있다”고 밝혔다.