이제 온라인 게임에 있어서 아이템 문제는 하루 이틀의 사건이 아니다. 아이템 현거래가 이슈가 되기도 했고 게임 아이템을 두고 민사 범죄가 다수 발생하기도 했다. 타인의 아이템을 해킹해 현금으로 바꾸려는 사건도 종종 일어나는데, 게임사에서는 보통 해킹범의 계정을 사용정지(블럭) 시키는 것으로 일을 마무리짓는다.

하지만 최근 이러한 게임사의 대응책의 구멍을 파고들어 아이템 세탁을 하는 사건도 발생하고 있다. 아이템 세탁을 할 경우 해킹범은 자신을 드러내지 않고 타인 계정을 통해 타인을 해킹하는데, 게임사의 대응책이 미비해 엉뚱한 피해자가 생기고 있다. 

엔씨소프트의 MMORPG(다중접속 온라인 롤플레잉게임) <리니지2>의 유저였던 페파민트님의 사례를 통해 아이템 세탁이 어떻게 발생하고 얼마나 엉뚱한 조치가 벌어지고 있는지를 조사해 보았다.

[페파민트님 계정 블록 사건 일지]

07.10.16 밤 11시 테스트서버 접속 종료.

07.10.17 오전. 비밀번호 변경 메일을 받음.

07.10.17 밤. 타인 계정 도용 사유로 계정 블록 조치당함.

페파민트님은 17일 오전 다른 사람에 의해 자신의 계정 비밀번호가 바뀌었다는 메일을 받는다. 페파민트님은 지금까지 그 누구와고도 계정을 공유해서 썼던 적이 없었기에 자신의 비밀번호가 해킹을 통해 유출된 것을 알게 된다. 그즉시 비밀번호를 변경하고 주활동 무대였던 테스트 서버에 접속해 아이템 피해 사실을 확인했으나, 다행히 테스트 서버 캐릭터에서는 피해가 없었다.

하지만 17일 밤, 페파민트님은 타인 계정을 도용했다는 이유로 계정 블록을 당하게 된다.이유인 즉, 어느 유저가 아이템 해킹을 신고했는데, 해킹된 아이템이 페파민트님의 계정에 있었다는 것이었다.

페파민트님은 자신은 해킹을 시도한 적이 한 번도 없고, 오히려 당일 아침 비밀번호 해킹을 당한 사람이었는데, 자신의 되려 해킹범으로 몰리는 상황이 되어 버렸다. 더군다나 아이템 해킹이 일어난 서버는 엘카디아 서버였다. 페파민트님은 2년 전부터 테스트 서버만 플레이해 왔던 유저로 엘카디아 서버는 1년 넘게 접속조차 안 한 곳이었다. 

아이템 세탁

일반적인 해킹 경로는 해킹범이 훔친 아이템을 자신의 계정으로 가져와서 처분한다. 따라서 훔친 아이템이 있는 계정을 찾아내, 그 계정을 블록시키면 해킹범에 대한 조치가 완료된다. 

하지만, 해킹범이 자신의 계정이 아닌 타인의 계정을 사용하는 아이템 세탁은 그 형태가 다르다. 해킹범은 계정B를 해킹해 아이템을 빼돌려 자신의 계정이 아닌 해킹계정A에 보관한다. 이 경우 아이템 피해자인 B가 신고를 한다해도, 피해 아이템은 A가 가지고 있었던 것으로 드러나고 해킹범이 누구였는지는 알 수가 없다. A는 자신도 해킹을 당한 피해자임에도 일반적인 해킹 처리 방법에 따라 계정 블록이 되고 마는 이중피해를 입게 되는 것이다.

아이템 해킹에 대한 엔씨소프트의 자세

페파민트님의 계정은 위의 아이템 세탁과 같은 방식으로 중간 연결 계정으로 사용되었을 가능성이 대단히 높다. 그는 게임사인 NC SOFT에 대해 자신도 피해자이니, 확실한 재조사를 요구했지만, 11월 초 돌아온 답변은 실망스러운 것이었습니다.

▼ 엔씨소프트의 답변

GM과의 대화를 통하여 안내해드린 사항으로 타인에 의해 계정 도용 피해가 발생하였다면

고객님의 계정 또한 계정 도용의 피해가 발생하여야지만 인정될 수 있습니다.

사건이 발생한 시점에서 저희가 확인가능한 모든 내용을 확인하였으며

고객님께서 진술하신 이의 내용은 인정될 수 없는 사항이라고 전달해 드렸습니다.
 

다시 말해, 물질적 피해(아이템 유출) 사실이 있어야 해킹에 의한 피해를 인정해 줄 수 있다는 뜻이었다. 페파민트님처럼 중간계정으로 사용된 경우엔, 본인 아이템 유출이 없으므로 피해자로 볼 수 없다는 뜻이며, 페파민트님 계정에 해킹 신고된 아이템이 있으므로 해킹에 대한 책임을 지어야 한다는 뜻이다.

훔친 물건을 가지고 있는 사람이 범인이라는 뜻인데 이것을 현실 상황에 맞추어 비유해 보면 다음과 같다.

예1)

고위정부 관리 N은 거액의 세금을 빼돌렸으나, 법망의 추적이 두려워 이것을 돈세탁하고자 했다.

N은 돈세탁을 위해 국민 A, B, C의 통장에 돈을 이체시켰다.

그런데 그 시점, 정부가 세금 횡령 사실을 알고 검찰에 신고하였다.

검찰 수사 결과 횡령된 돈은 A, B, C의 통장에서 발견되었다.

그렇다면 A, B, C가 범인인가?

예2)

해커 N은 엔씨소프트 사이트를 해킹하려 한다.

자신의 위치를 숨기기 위해 A집 컴퓨터와 B집 컴퓨터를 경유해 NC SOFT를 해킹하였다.

NC SOFT는 해킹범을 잡기 위해 경로 역추적을 실시하였더니 A집과 B집이 발신지임을 알게 되었다.

그렇다면 A와 B가 해킹범인가?

아이템 세탁에 무방비인 엔씨소프트 정책

위의 답변으로 알 수 있는 점은 엔씨소프트는 훔친 물건이 놓여진 계정을 범인으로 간주한다는 것이다. 가장 확실한 논리이긴 하지만, 아이템 세탁과 같이 여러 개의 계정을 해킹해 아이템을 빼돌리는 경우에는 속수무책으로 당할 수밖에 없는 대응책이다. 아이템 세탁 사건에도 전통적인 해킹 처리 방법을 고집할 경우 페파민트님처럼 엉뚱하게 피해를 받는 사람이 늘어날 수밖에 없다. 이를 알고 있는 해킹범은 자신의 행적이 잡히지 않기에 똑같은 범죄는 계속 일어나게 될 것이다.

페파민트님은 4년 이상 엔씨소프트의 게임을 결재해 온 모범 이용자였다. 그러나 한순간에 자신이 해킹범으로 몰리고, 게임사에서는 규정이 이러하니 당신은 계정블럭된다고만 했다. 이러한 일을 겪으며 페파민트님은 아이템에 대한 물질적 피해보다도 정신적 분노와 실망이 매우 크다고 얘기했다.

단순한 1차 해킹에 대한 대응만 생각하는 게임사의 대처방법도 답답하지만, 고객의 입장을 생각지 않고 행정 편의적으로만 일을 처리하는 서비스 정신에도 문제가 있음을 보여주고 있다.