해킹 사건을 다룸에 있어서 가장 먼저 고민하게 되는 것은 바로 용어 선택의 문제이다. 해킹이라고 표현을 할 것인가, 아니면 계정 도용이라고 표현을 할 것인가.
게이머들의 입장에서는 해킹이라고 불러도 아무런 문제가 없다. 왜냐하면 자신의 계정에 누군가 들어와서 피해를 입힌 것이므로, 자신에게는 해킹이 된다.
그러나 게임사 및 개발자들의 생각은 조금 다르다. 자신들이 만든 게임의 서버나 시스템이 뚫려서 그 안에 있던 정보가 왜곡되거나 유출된 것을 해킹으로 정의한다.
그래서 게임사 관계자들은 해킹이라는 말을 쓰는 것에 대해 대단히 민감한 반응을 보이곤 하며, 이 사태를 계정 도용 사건이라고 불러주기를 희망한다. 유저들의 계정에 제 3자가 접속해서 아이템과 게임머니를 털어간 사건은 (서버와 시스템에 대한) 해킹이 아니라, (유저의) 계정이 도용당한 사건이라는 뜻이다.
해킹이라는 말로 인해 서버와 시스템이 뚫렸다는 듯한 인상이나 오해를 받을 소지를 최대한 줄여보고자 하는 의도일 수도 있다. 하지만 사전적인 정의로 보았을 때에도 게임사측의 설명이 맞으며, 따라서 해킹이 아니라 계정도용이 더 정확한 표현이다.
그러나 해킹과 계정 도용 사이에는 내재된 의미의 차이가 한가지 존재한다. 바로 책임의 소재 여부이다. 해킹이라는 단어로 표현되었을 경우, 이는 시스템적인 문제라는 뉘앙스를 풍기기 때문에 유저 개인의 책임보다는 게임사측에 책임 소재가 있다는 뜻을 은연중 내포하게 된다.
반면에 계정도용이라는 단어를 사용하게 되면, 이는 게임사측의 잘못이나 시스템적인 문제라기 보다는, 다른 외부적인 요인이나 혹은 유저 개개인의 관리 소홀로 인한 제 3자의 불법 접속이라는 뉘앙스를 풍기게 된다. (따라서 게임사측의 책임이라는 부담이 덜해지게 된다)
요컨대, 사전적인 정의 말고도 누구에게 더 책임소재가 돌아가느냐 하는 측면에서 두 단어는 미묘하게 차이를 보인다는 것이다.
이런 사건을 다룰 때 해킹으로 표현했을 때 우려되는 점이 한가지 더 있다. 바로 비게이머 및 비게임 매체들의 오해의 여부이다. 사건이 일어났을 때 게임 관련 매체나 커뮤니티에서 해킹으로 표기를 할 경우, 게임을 잘 모르는 일간지 및 IT 관련 매체들은 (게임 매체와 커뮤니티를 참고해서) 해킹으로 표기를 하게 될 가능성이 더 높아지고, 결과적으로 게임을 잘 모르는 비게이머들에게 게임에 대한 안좋은 인식을 심어주게 될 가능성이 더 높다는 것이다.
따라서 명백하게 서버나 시스템이 외부의 공격에 의해 뚫려서 정보가 유출된 것이 아니라면, 리니지 등 다수의 MMO 게임에서 게이머의 계정이 털린 사건은 계정도용으로 표기하는 것이 더 합리적이다.
2. 계정 도용이 일어나는 게임의 특징
조직적으로 대량의 계정을 노리는 범인들의 목적은 바로 돈이다. 해당 게임에 앙심을 품은 사람이 그런 일을 저지를 수도 있겠지만, 지금까지는 조직적으로 돈으로 노리고 자행된 행위들이었다.
돈을 노리고 하는 행위이기 때문에 현금화가 용이한 게임, 현금으로 바꿀 수 있는 아이템과 게임머니가 많은 게임이 그 대상이 된다. 리니지, 리니지2 등 지금까지 조직적인 대규모 계정 도용이 일어난 게임들의 경우 모두 현금 거래 사이트에서 상위권에 위치한 게임들이다.
특이하게도 WoW 는 현금 거래의 거래량이나 거래 금액상 상위권에 있으면서도 대규모 계정 도용과는 별다른 인연이 없었는데 이것은 게임 자체의 특징에 기인한다. WoW 는 대다수의 아이템이 귀속이기 때문에 거래가 일어날 수 있는 영역은 계정과 골드(WoW 의 게임머니) 이다.
하지만, 범인의 입장에서 생각해보자. 범인도 동일한 노력을 들였을 때 얻을 수 있는 기대수익의 개념에서 접근을 한다. WoW 와 리니지의 계정에 각기 접속했다고 치자. 장비를 모두 현금으로 팔 수 있는 리니지와 오로지 골드만 팔 수 있는 WoW 중 무엇의 기대수익이 더 높겠는가.
그런 면에서 국내에는 WoW 작업장이 자리를 잡기 힘들고, 있어봤자 캐릭터 육성 대행, 투기장 대행 등의 작업장이 대다수인 것이다. 다만 북미 WoW 의 경우 골드 시세가 비싸서 중국의 물가 기준으로 괜챃은 수익을 기대할 수 있기 때문에, WoW 북미 서버에는 중국인들의 골드 작업장들이 상당수 존재하기도 한다.
결론은, 대규모 계정 도용이 일어나는 게임들은 현금 거래가 잘 되는 게임이기 때문에 오토와 작업장이 활성화되어 있다는 특징이 있으며, 또한 접속자 수가 많을수록 현금화가 잘 되고 현금 거래가 많기 때문에 접속자가 상당히 많은 성공한 게임이라는 것 역시 공통 분모이다. 앞으로도 어느 정도 성공을 거두고 현금 거래가 잘 일어나는 게임들은 지속적으로 이런 대규모 계정 도용 사태에 직면하게 될 것이다.
따라서 서버의 보안이 허술해서 뚫린 시스템 해킹이 아닌, 유저의 계정이 대량으로 털린 계정 도용의 경우 어떤 게임이 당했느냐 보다는 그런 사건이 일어났을 때 어떻게 사후 처리가 진행되었느냐를 주요한 판단 기준으로 삼는 것이 맞다.
성실한 공지와 응답이 이루어졌느냐, 얼마나 빠른 시간내에 조사가 이루어졌느냐, 아이템과 게임머니를 도난당한 유저에 대한 보상 및 관련 계정들에 대한 보상은 어떻게 이루어졌느냐, 그리고 계정도용 사태를 방지하기 위한 후속 조치를 어떻게 취했느냐 하는 점에서 게임사의 잘잘못을 판단해야 한다는 뜻이다.
3. 계정 도용이 일어나는 일반적인 패턴
요 몇년 사이에 일어나는 조직적인 대규모 계정 도용건은 게임사의 서버를 해킹해서 발생한 것이 아니다. 키로그 프로그램과 같은 정보 유출 프로그램을 무작위로 인터넷상에 뿌려서 얻어내는 것이다.
도용자는 먼저 신종 바이러스 프로그램을 제작한다. 이 바이러스에 감염된 컴퓨터가 특정 게임에 접속을 할 경우 게임을 플레이하는 게이머가 키보드 상에서 입력하는 모든 정보를 자동으로 도용자에게 송신하는 기능을 지니고 있다.
도용자는 이 바이러스를 여러곳에 배포하는데, 보안이 허술한 사이트를 뚫고 들어가 바이러스를 심어놓기도 하며(전에 방송 관련 사이트에 이 바이러스가 심어졌던 적도 있었다), 개인 블로그나 개인 홈페이지 등에 심어놓기도 한다. 따라서 이 바이러스가 심어진 사이트나 웹페이지에 들어간 유저는 자신도 모르는 새 바이러스에 감염되는데, 그 게임을 하지 않는 사람이라면 별 상관이 없다. 감염된 컴퓨터로 특정 게임을 플레이할 때 계정 정보가 도용자에게 전달되는 것이다.
이렇게 모인 계정정보들을 가지고 도용자는 조직을 꾸려 특정 시점을 기해 무차별적으로 접속하여 아이템과 게임머니를 훔치고 나간다. 당한 사람이 비밀번호를 바꾸어봤자 어차피 바이러스가 심어져 있으므로 변경의 과정 자체가 고스란히 노출되기 때문에 또다시 당하게 된다.
이 바이러스는 계정 도용 사태가 갑자기 확 발생하고, 원인이 파악될 때까지 발견되지 않는다. 정보를 얻었다고 바로 도용자가 접속하는 것이 아니라, 일정 정도의 계정 정보가 확보되었을 때 일거에 들어오기 때문에 사태 발생 전까지는 바이러스의 존재 자체를 아무도 모르는 것이다.
이때는 백신 프로그램도 큰 소용이 없다. 원래 백신 프로그램은 신종 바이러스가 보고되고 나서야 그 바이러스를 막을 수 있는 기능을 추가하게 된다. 도용자는 기존의 백신 프로그램에 걸리지 않는 새로운 바이러스를 만드는 것이기 때문에, 피해 사례가 보고되고 원인으로 해당 바이러스가 밝혀져야만 비로소 백신 업체들이 해당 바이러스를 막을 수 있는 프로그램을 업데이트하게 된다.
따라서 바이러스가 발견되고 프로그램이 업데이트될 시점은 이미 많은 계정들의 정보가 도용자에게 넘어간 이후가 될 수 밖에 없으며, 해당 바이러스로 인한 추가 피해의 확산을 막는 정도일 뿐 계정 정보가 이미 넘어간 계정들의 도용에는 그다지 큰 도움이 될 수 없는 것이다.
4. 피해의 확인, 게임사와 게이머의 말은 걸러 들어야 한다.
사건이 발생하게 되면, 기자로서 피해 사례를 수집하게 되고 게임사측에 관련된 문의나 취재를 하게 된다. 이때 주의해야 할 것은 게이머들의 말도, 게임사의 말도 100% 믿지 말고 걸러 들어야 한다는 점이다. 이것이 기자로서 언제나 고민되는 부분이다. 무엇을 어디까지 믿을 수 있는가 하는 부분.
일단 게임사 말을 걸러 들어야 하는 이유는, 게임사는 해당 사건의 피해가 알려진 것보다 크지 않으며, 피해 게이머들 대부분이 게시판에 글을 남기기 때문에 그렇게 보이는 것 뿐이며, 현재는 진정 추세라는 정도의 말을 하는 것이 대부분이다.
게임사의 말도 일정 정도 일리는 있다. 피해를 당한 게이머들은 분노 게이지가 충만해서 게시판 여기저기에 글을 올리게 되고, (피해를 당하지 않은 게이머들 피해 안당했다고 좌르륵 글을 올릴 이유는 없으니까!) 자연히 게시판은 계정 도용 사건으로 도배가 될 수 밖에 없기 때문이다.
그러나 또 한가지 생각해 보아야 할 것은, 게이머들의 심리적 안정을 위해, 그리고 게임과 회사의 대외적인 이미지를 고려하여 피해 규모나 현황을 축소할 가능성이 충분히 있다는 것이다. 특히 해당 데이터를 일반 게이머나 기자들이 직접적으로 확인할 수 있는 방법은 없기 때문에 (서버에 저장된 데이터를 외부인이 어떻게 확인하겠는가!) 축소된 것이 아닌가 하는 심증만 가질 수 있을 뿐 물증을 확보할 수 없고, 따라서 게임사의 공식 발표에 대해서 직접적인 반박을 하기 어렵다.
좀 다른 사례지만, 김용철 변호사의 폭로로 인해 삼성 비자금이 이슈가 되었을 때, 삼성 그룹의 홍보 관계자들은 방송과의 인터뷰에서 '전혀 아니다'라는 언급만 되풀이 했을 뿐이다. 이런 것처럼 게임사들도 대량의 계정 도용 사태에 대해 입장을 발표함에 있어서 축소의 소지가 충분히 있다는 것을 염두에 두어야 한다.
마찬가지로, 게이머들의 말 역시 과장이나 왜곡이 있을 수 있다는 것을 염두에 두어야 한다. 예를 들어 오토 프로그램을 사용해서 계정 블럭이 되었음에도 오토 프로그램을 전혀 쓰지 않았다고 글을 올리는 경우가 실제 발생하는 것처럼(커뮤니티 사이트를 운영하면서 실제 그런 사례를 접했었고, 결국 해당 게이머가 잠수를 탄 일이 가끔 있었다), 피해 규모는 10 인데 글을 올리기를 100 으로 과장하는 경우가 충분히 있을 수 있다는 것이다. 심지어는 자신이 인챈트를 시도해서 아이템을 날려놓고는 이것이 계정도용 당해서 그런 것이라는 글을 올리는 경우도 있다.
(※ 출처: eva3020 님의 블로그 (http://blog.naver.com/eva3020/70006720621) ]
실례로, 지금으로부터 1년전 인벤이 운영하는 한 커뮤니티에서 발생한 사건이 하나 있었다.
A 라는 게이머가 계정을 도용당했다고 인벤에 제보함으로써 사건이 시작되었는데, 계정을 도용당해 장비를 날렸을 뿐만 아니라 OTP 를 사용함에도 불구하고 계정을 도용당했기 때문에 게임사측에 귀책 사유가 있다는 것이다.
그래서 커뮤니티의 주요 기사로 그 내용을 정리하여 올렸다. 그런데 하루이틀 뒤에 게임사측으로부터 연락이 왔다. 이미 그 게이머가 인벤에 제보하기 전에 계정 도용으로 신고를 했지만, 왜 자신들이 계정 도용으로 인정하지 않고 피해 복구를 해주지 않았는가에 대한 해명자료였다.
그 자료에는 ▲ 얼마 전에도 A 게이머가 자신의 가족이 자신의 계정에 접속하여 인챈트를 시도하다 아이템을 날렸으며, 날린 아이템이 너무 고가이니 복구를 해주었으면 한다는 내용이었으며 ▲ 이번의 2차 도용 사건 역시 도용당한 IP 역시 평소 A 게이머가 접속하던 PC 방 IP 의 옆 PC 방 IP 이고 ▲ 도용당하여 장비가 날아간 시점에는 OTP 프로그램을 사용하는 상태에서 접속하였기에 이것을 도용으로 보기 어렵고 ▲ OTP 가 해지된 시각은 도용당해 아이템이 날아간 지 몇시간 지나서였다는 내용이 들어있었다. 덧붙여 해당 로그 기록을 모두 보관하고 있으므로, 게이머가 정식 절차를 거쳐 요청한다면 모두 공개할 수 있다는 말도 있었다.
그래서 도용건에 대한 2차 기사를 썼는데, 얼마 뒤 경찰서로부터 한 통의 문서가 왔다. 개인정보 유출건으로 A 게이머가 그 게임사를 고발한 것이다. 즉 자신의 접속 기록에 대해 외부자인 인벤에 넘겼기 때문에 개인정보 유출이라는 것이다. (그때 받은 자료에는 IP 가 4자리중 3자리가 표기되어 있었으며, PC 방이 어느 시의 어느 동에 위치한 것인가 하는 내용이 들어 있었고, 도용 신고를 받은 날짜, 아이템이 인챈트되어 날아간 시각 등이 표기되어 있었다)
경찰서에서 온 문서에는 어떤 정보를 게임사로부터 넘겨받았고 넘겨받은 이유가 무엇인지를 알려달라는 내용이 적혀 있었다. 따라서 올라간 두건의 기사와 게임사로부터 받은 내용 전체를 첨부했고 사건의 개요를 설명한 뒤, 추가로 한가지를 더 첨부했다.
인벤의 로그 기록을 살펴본 결과, A 게이머가 언플을 한 기록이 여럿 발견되었기에 '게임사로부터 받은 자료는 A 게이머가 제보한 내용에 대해 해명을 하는 자료였고 내용을 검토한 결과 A 게이머의 제보 내용이 허위일 가능성이 매우 높으며, A 게이머는 인벤에서 동일 IP 로 다른 아이디를 이용하여 언론 플레이를 한 기록도 나왔다' 라는 내용을 추가한 것이다.
그 이후 경찰서에서도, 게임사에서도 별다른 연락이 없는 것으로 봐선, 고발 자체가 허위로 판명되어 종료되지 않았나 한다. 생각같아서는 게임사가 명예훼손 및 무고의 혐의로 A 게이머를 고발했으면 하는 심정이었는데, 아무리 허위 고발이라고는 하나 대형 게임사가 특정 게이머를 상대로 법적 절차를 밟는다는 부담감 때문에 게임사도 더 이상의 대응을 안한 것으로 생각된다.
결국은 A 게이머의 허위 제보에 의해 인벤도 낚였고 그 게임을 하는 게이머들 상당수도 같이 낚인 셈이다. 몇년간의 기자 생활 및 커뮤니티 운영 경험상 이런 허위 제보 같은 사건들이 종종 발생하기 때문에 계정 도용 같은 사건을 다룸에 있어서 게이머들의 제보도 신중하게 판단하고 걸러 들어야 한다는 경험적 법칙을 체득하게 된 것이다.
5. 피해 처리, 회수와 복구의 차이
계정을 도용당한 게이머의 피해를 보상해주는 부분에는 크게 두가지의 기준이 있다. 물론 이 두가지 외에 추가적인 이벤트 아이템을 넣어준다던가 혹은 종류에 따라서 두가지를 혼용한다던가 일정량의 캐쉬를 보상해준다던가 하는 것도 있겠지만, 크게는 회수와 복구라는 두가지 개념이 피해 보상의 주요한 개념이 된다.
먼저 회수는 피해 물품중 게임 내에 남아있는 것을 되돌려 주는 것이다. 이미 피해 물품은 현금 거래나 게임내 거래를 통해서 다른 사람에게 넘어간 상태이다. 이때 피해 물품의 거래 경로를 역추적해서 거래 과정을 반대로 되풀이하는 것이다. 예를 들어 리니지라면, 9싸울이 1억 아덴에 A 에게 넘어갔고, 그 1억 아덴을 B 에게 현금으로 팔면서 넘겼다고 해보자.
이때 게임사는 B 에게 1억 아덴을 빼내어서 A 에게 넘겨주고, A 에게서 9싸울을 회수하여 피해자에게 되돌려주는 것이 회수이다. 물론 이때 B 는 현금 거래를 했기 때문에 게임 약관상 일정 기간의 계정 블럭 조치를 받게 될 것이며, 1억 아덴 역시 돌려받지 못한다. (B 가 할 수 있는 일이란 자신에게 돈을 받아간 그 도용자를 신고해서 보상을 받는 것인데, 도용자를 잡지 못하는 경우도 자주 발생한다) 만일 A 가 9 싸울을 러쉬해서 날렸다면, 이제 피해자에게 B 에게서 빼낸 1억 아덴을 그대로 돌려준다.
이처럼 회수는 게임내의 거래 과정을 역으로 되돌리는 것이기 때문에 중간에 끼인 선의의 거래자는 자신이 한 거래 내역에 관해서 약간의 롤백이 있을 뿐 별다른 피해는 보지 않게 된다.
단, 회수 원칙에는 한가지 문제가 존재한다. 도용범이 러쉬를 해서 날리거나 혹은 거래 과정을 역으로 추적해도 관련된 아이템과 게임머니가 게임 내에서 이미 다 소모가 된 상태라면, 아무런 보상을 받지 못한다는 점이다. 사라진 아이템과 게임머니를 운영자의 권한으로 생성하여 피해자에게 주지 않는다는 것이 회수의 특징인데, 이는 악용을 방지하기 위한 정책이기도 하다. 앞서 든 사례처럼 허위 제보나 도용처럼 보이는 고의적인 인챈트 시도를 시스템적으로는 분간할 수 없기 때문이다. (즉 먼 지역에 있는 친구와 짜고 도용처럼 행동하는 것은 충분히 조작이 가능하다)
복구는 회수와는 조금 다른 개념이다. 이미 서버내에서 사라지거나 소모된 물품이라 할지라도, 조작이 아닌 명백한 도용으로 판단된다면 피해 물품을 운영자의 권한으로 생성하여 피해자에게 주는 방식이다. 따라서 피해자의 경우 보상을 제대로 받을 수 있지만, 복구 원칙을 적용할 때는 해당 게이머의 신고 내용이 사실인지 아닌지를 면밀하게 검토하고 판단하는 시간이 추가로 소요되기에 시간이 좀 더 걸릴 수 있다.
따라서 계정 도용을 당했다면, 먼저 그 게임을 서비스하는 회사의 도용 처리 방침이 회수인지, 복구인지 아니면 두개의 혼용인지를 먼저 파악을 해야 한다.
6. 게임사가 대처를 제대로 하고 있는가에 대한 판단은 어떻게 ?
(보통 운영이라는 말로 표현되곤 하는) 게임사의 대처를 평가함에 있어서 ▲ 처리 현황 등에 대해 성실한 공지와 고지가 이루어지느냐 ▲ 얼마나 빠른 시간 내에 조치가 이루어지느냐 ▲ 피해 보상의 원칙이 확립되어 그 원칙대로 처리가 되느냐 ▲ 확산을 방지하고 피해를 줄이기 위한 후속 조치들이 시행되느냐 등의 요소로 판단을 해야 한다.
☞ 관련 기사 보기: [논평] 복사와 경험치 버그, 그리고 운영의 힘
성실한 공지와 고지라 함은, 주로 피해자뿐만 아니라 유탄을 맞은 제 3의 게이머들에게도 해당된다. 즉 신고한 피해자에게는 대략 어느 정도의 시간이 소요될 것인지를 말해주어야 하며, 신고량 급증으로 인해 처리가 지연되면 지연된다는 것을 알려주어야 한다.
또 하나는 유탄을 맞은 제 3의 게이머들인데, 도용당한 물품을 경매장이나 개인상점 등 선의로 거래한 게이머들이다. 도용 사건 피해를 처리하기 위해서는 도난당한 물품이 거쳐간 계정들을 일시적으로 압류시켜 로그 조사를 할 수 밖에 없다. 따라서 거래가 발생했던 계정들도 며칠간 계정이 압류당하게 되는데, 어떤 사유로 압류가 되었고 대략 언제쯤 풀릴 수 있는지, 그리고 그 게이머의 잘못으로 인해 압류된 것이 아니라 조사를 위해 부득이하게 압류를 한 것이므로 압류에 대해서는 어떻게 보상이 이루어질 것인지를 알려주어야 한다.
이유를 알고 미래 예측이 가능하면 심리적으로 누그러지는 것이 인간의 본성이다. 정 업무량이 폭증해서 일일이 알려주지 못하게 된다면, 자세하게 공지를 띄워주는 것이라도 해야 하며, 해당 게이머가 홈페이지에 로그인했을 때 쪽지 등으로 사유를 알 수 있는 조치 등도 필요하다. 그런 조치를 취하지 않을 경우, 도용당한 피해자의 분노에 덧붙여 그로 인해 유탄을 맞아 압류된 게이머들의 분노까지 덧붙여져 게임사에 대한 악평을 누적시키는 결과를 가져온다.
두번째로는 얼마나 빠른 시간내에 조치가 이루어지느냐 하는 문제이다. 하지만 한가지 이해해야 할 것은, 평소의 도용처리에는 1~2일이 걸린다면, 조직적 대규모 도용사건의 경우 신고량 자체가 대폭 증가하기 때문에 3~5 일이나 그 이상 걸릴 수 있다는 점이다. 따라서 피해자들도 이런 상황을 알고 좀 더 오래 기다릴 수 있어야 하며, 반대로 게임사는 그런 상황에 대해 성실하게 공지하고 알려줌으로써 불필요한 오해와 분노 게이지를 방지해야 한다.
세번째로는 피해 보상의 원칙에 대한 문제이다. 어떤 원칙으로 도용 사건의 피해에 대한 보상을 해주는지, 왜 그런 원칙을 정했는지, 그런 원칙에 따라 어떻게 보상이 이루어졌는지를 게이머들에게 설명하고 이해시켜야 한다.
분명 처리가 완료되었다고는 하는데, 실제 보상을 받은 규모가 피해 규모에 비해 턱없이 작다면 피해자는 분노하게 된다. 게임 내 시세가 보상 기준이라면, 그 시세가 어떻게 정해지는지, 예를 들어 해당 아이템이 경매장에서 최근 일주일간 거래된 평균값의 80% 가 기준이라거나 하는 세부적인 기준이 필요한 것이다. 또 특정 아이템이 보상이 안되었다면 왜 보상이 안되었는지, 또 피해자가 왜 그런 규모의 보상을 받게 되었는지 등에 대해 납득할만한 설명이 있어야 한다는 것이다.
계정 도용 사태 이후 리니지는 다양한 후속 조치가 이루어졌다 ]
네번째로는 후속 조치의 여부이다. 피해 확산을 방지하고 추후의 또다른 대규모 도용건을 방지하기 위한 시스템적인 장치가 어떻게 도입되느냐 하는 부분이다.
대표적인 것으로 엔프로텍트 같은 보안 솔루션을 예로 들 수 있고, OTP 프로그램도 한 예이기도 하다. 백신 프로그램의 경우 신종 바이러스를 감지하지 못할 수 있다는 단점이 있는 반면에 OTP 프로그램의 경우 현재까지 뚫린 적이 없는 것으로 알려졌다. 특히 OTP 프로그램은 자신의 핸드폰으로 비밀번호를 확인해야 하며 수시로 바뀌기 때문에 최근 도입하는 추세가 늘어나고 있기도 하다.
그 외에도 마우스로 비밀번호를 입력하게 한다던가, 2차 비밀번호나 창고 비밀번호를 도입하거나 혹은 리니지의 봉인 주문서처럼 아이템 인챈트 및 이동을 제한하는 조치 (일시적 귀속 개념) 를 도입하는 경우도 있다. 또 리니지의 PC 등록제처럼 게이머가 지정한 PC 에서만 게임 접속이 가능하도록 하는 방식도 있다. PC 등록제를 이용할 경우 등록 과정에 인증 절차가 필요하기 때문에 비밀번호를 도용자가 알아냈다고 할지라도 도용자의 PC 에서 접속을 못하게 된다.
제 아무리 새로운 방책을 도입해도 누군가는 피해를 볼 수 밖에 없는 것이 뚫으려는 자와 막으려는 자의 숙명이지만, 적어도 피해 규모를 상당수 줄이는 노력을 게임사가 지속하느냐 하는 점에서는 게임사의 의지와 운영을 평가할 수 있는 중요한 요인이 되는 것이다.
7. 해외에서 들여온 게임이 가진 한가지 핸디캡
이런 문제를 처리함에 있어 국내에서 개발된 게임과 해외에서 들어온 게임은 조금 다를 수 있다.
대규모 계정도용 같은 심각한 사태가 발생했을 때, 국내 게임은 대처에서 한가지 장점을 지니고 있다. 경영진이 이 문제가 매우 심각하고 우선순위가 높다고 판단하면, 즉시 운영진을 추가 투입하고 개발자들의 업무 우선순위를 업데이트나 다른 개발 문제에서 계정 도용 문제로 변경할 수 있다. 즉 대표이사나 임원, 본부장급의 결정 여하에 따라 계정 도용에 대한 대처를 현안 1순위로 상정하고 역량을 집중 투입해서 대처할 수 있다.
그러나 해외 게임의 경우 이와는 한가지 차이점을 지니고 있다. 해외 개발사의 판단이 한국 서비스사의 판단과 일치하지 않을 때, 혹은 해외 개발사가 한국에서 직면한 문제를 별로 중요하게 여기지 않아 별다른 조치를 취하지 않을 때의 문제이다.
이런 문제는 EQ2 나 DDO 같은 게임에서도 극명하게 드러났으며, 심지어는 WoW 에서도 드러난 바 있다. WoW 는 초창기에 환불을 할 경우 계정 자체를 삭제하는 정책을 가지고 있었는데 이는 북미에서의 패키지 판매 방식의 특징에서 비롯되었다. 북미에서는 환불을 패키지와 시리얼 넘버의 반환으로 생각하기에 계정 삭제가 자연스러웠다.
그러나 한국은 패키지와 시리얼 넘버가 없었기 때문에 환불을 요청한다는 것은 단지 정액을 넣었다가 취소한다는 것 뿐이고 계정을 삭제하겠다는 의사와는 무관하다. 언제든지 다시 돌아올 수 있기 때문이다. 이런 문제 때문에 블리자드 코리아 역시 상용화 이후 블리자드 본사에 지속적으로 정책 변경을 요청했었고, 인벤에서도 환불 정책을 한국에 맞게 변경하라는 강력한 논조의 기사를 써서 올린 일도 있다. 훗날 블리자드 코리아가 환불 정책의 변경을 요청하는 자료로 인벤의 기사가 쓰였고, 인벤의 기사를 번역해서 보내주었다는 이야기를 전해 듣기도 했다.
☞ 관련 기사: WoW 의 환불시 계정삭제와 관련된 기사 보러가기
이만큼 해외 개발사와 한국 서비스사의 입장이나 판단 차이가 갈릴 경우, 해결에 상당히 오랜 시간이 걸릴 수도 있다는 것이 해외 게임이 가진 하나의 핸디캡이다.
손쉬운 예로 한국 서비스사에 게임 운영과 관련된 권한을 얼마나 부여해주느냐의 문제를 생각해 볼 수 있다. 예를 들어, 한국에서 서비스하는 해외 게임이 계정 도용 사태로 인해 유저들의 아이템이 삭제되었다고 하자. 만일 해외 개발사에서 한국 서비스사에게 복구와 관련된 권한을 매우 낮게 책정하여 신규 아이템을 생성해줄 권한을 부여하지 않았을 때는, 아이템이 삭제된 유저에게 보상해주려 해도 해당 아이템을 보상해줄 방도 자체가 없다.
또한 운영진들이 각종 로그 조사, 아이템 추적, 분실한 아이템과 게임머니의 복원과 재이동 등을 하기 위해 필요한 내부 관리 프로그램의 기능이 매우 제한적이거나 한국 운영진들에게 부여된 권한 자체가 낮을 경우, 계정 도용 사태의 처리에는 그만큼 많은 시간이 걸리게 되고 또 그만큼 불충분한 결과, 보상이 이루어질 수 있다.
따라서 단지 한글화나 서버 안정성, 계약 금액이나 서비스 일정 뿐만 아니라 한국에서 충분히 운영을 하기 위한 각종 지원과 권한의 획득 역시, 외국 게임을 서비스할 계획을 가지고 있는 한국 게임사들이 향후 계약 단계에서 꼭 확인하고 넘어가야 할 사항 중의 하나이다.
8. 근본적인 문제, 계정도용과 관련된 기사를 쓰는 이유는 ?
원래 이 글은 인벤 기자의 내부 교육용으로 작성하려던 글이었다. 대규모 계정 도용 사건을 다룸에 있어서 어떤 점을 검토하고 판단하고 평가내려야 하는지를 설명하려던 것이었다. 하지만, 이미 여러 번의 대규모 도용 사건이 있었고, 또 앞으로도 일어날 것이기에 이 기사를 볼 게임사나 게이머들 역시 판단에 필요한 정보라고 생각되어 기사 버전으로 수정한 것이다.
그렇다면, 가장 근본적인 문제로 되돌아가서 게임 기자라는 직업을 가지고 있는 사람들이 대규모 계정 도용 사건을 기사화함에 있어서 어떤 입장, 어떤 목적을 취해야 하는가 하는 것부터 미리 확정해야 한다.
계정도용 사건을 취재하고 기사화하는 목적은 게임 자체의 안정적인 서비스 지속이다. 바꿔 말하면, '이 게임 망해라' 라는 입장에서 기사를 작성하는 것은 기자의 본분에 어긋나는 행위라는 뜻이다.
기자는 계정 도용 관련 기사를 통해, 게이머에게는 '피해를 당한 입장에서의 분노와 당황은 이해하지만, 계정 도용의 발생 원인을 합리적으로 분석하고, 게임사의 처리 프로세스나 소요 시간을 이해함으로써 분노의 표출보다는 게임사가 (위에서 열거한 기준에 맞추어) 적절한 대처를 하고 있는지를 판단하자' 라는 메시지를 주어야 한다.
마찬가지로 게임사에게는 '도용 사건의 피해 처리에 있어서 제대로 된 처리 프로세스가 있어야 하며, 피해자들에게 성실하게 고지가 되어야 하며, 피해를 줄이기 위한 각종 조치나 후속 조치가 있어야 한다'는 메시지를 주어야 하며, 대처를 제대로 하지 못하고 있는 부분을 짚어주고 비판하면서 이 부분을 어떻게, 왜 보완해야 할 것인지를 말해야 한다.
기자는 기사를 쓰면서 이 두가지를 동시에 만족시켜야만 하는 것이다. 앞으로도 인벤은 게임웹진과 게임커뮤니티를 운영할 것이고, 그렇기 때문에 계정 도용 사건을 계속해서 접하게 될 것이다. 발생하지 않는 것이 제일 좋지만 누군가는 계속 노릴 것이기 때문에 어떻게 하면 그 피해 규모를 최소화하고 게임이 안정적으로 서비스가 지속될 수 있을 것인가를 항상 고민해야 하는 것이다.
본문과는 별 관계 없는 여담이지만, 인벤이 아닌 전 직장에 있을 무렵인 지금으로부터 4년전에 리니지와 리니지2에 대해 '3만원짜리는 되고 싶지 않다'라는 칼럼을 써서 올린 적이 있다. 그 글의 마지막 문장은 '내가 이 회사의 고객 서비스를 다른 게임 회사들이 본받아야 한다고 칭찬하는 글을 쓸 날이 올 수 있을까 ?' 였다.
그 이후 수 많은 게임들의 운영 모습, 그리고 계정 도용에 대한 처리 모습을 보면서 마지막 문장의 물음에 대한 답을 내려야 할 것 같다. 그런 글을 쓸 날은 이미 왔다. 게이머들의 입장에서는 비록 마음에 들지 않을지라도, 그 칼럼을 쓰도록 만들었던 엔씨소프트는 고객서비스와 운영이라는 점에서 기자가 접했던 많은 게임사와 다양한 게임들보다 상대적으로 우위에 있다. 가끔은 '엔씨소프트만큼이라도 해라'라는 소리가 나올 정도로.
운영은 원래 칭찬받기가 대단히 어려운 분야이다. 특히나 다수의 GM 들은, 게임사에서도 낮은 신분으로 인지되고 있으며, 여러 게임사들이 GM 을 선발할 때 근로자 파견 업체를 통해 공급을 받기도 한다. 왜 ? 값이 싸니까. 그 게임에 대해서, 게임의 운영에 대해서 제대로 아는 사람을 신중하게 고르고 적절한 대우를 해주는 것보다는 비용이라는 측면이나 사내에서의 중요도 등을 따져 그냥 인력 공급 업체로부터 받는 경우가 많다. 그래서 계약직 (쉽게 말하면 비정규직) 이 다수를 점하고 있기도 하다.
마지막으로 GM 들의 처우와 신분이 개선되어 그들이 계정도용 사건의 처리에 보다 더 집중할 수 있도록, 그리고 GM 들이 확실한 원칙과 처리 프로세스와 게이머들에 대한 자세한 안내를 통해 계정 도용 사건을 원활하게 처리할 수 있도록 게임사의 방침과 인식이 달라졌으면 한다. 계정도용 처리건이나 운영의 문제는, GM 개개인의 문제가 아니라 그 게임사의 조직과 시스템이 받쳐주어야만 제대로 이루어질 수 있는 문제이기 때문이다.
Inven LuPin - 서명종 기자
(lupin@inven.co.kr)
desk@inven.co.kr