“스타 시티즌 이용자 정보 털렸다”… 해킹 사실 6주 뒤 공개에 팬들 분노

역대 최대 규모의 크라우드 펀딩으로 주목받아 온 우주 시뮬레이션 게임 《스타 시티즌》의 이용자 개인정보가 해킹으로 유출된 사실이 뒤늦게 확인됐다. 특히 운영사가 사건 발생 후 한 달이 넘도록 침묵을 지키다 뒤늦게 공지한 사실이 알려지며 이용자들의 비판이 거세지고 있다.

1월 발생한 ‘조직적 공격’… 백업 시스템 뚫렸다

개발사 클라우드 임페리엄 게임즈(이하 CIG)는 최근 공식 성명을 통해 지난 1월 21일 자사 시스템을 대상으로 한 조직적인 사이버 공격이 발생했다고 발표했다. 이번 공격으로 일부 백업 시스템이 무단 노출됐으며, 이용자 계정 정보가 외부로 유출됐을 가능성이 확인됐다.

해당 해킹 공지는 《스타 시티즌》 공식 포털인 Roberts Space Industries 웹사이트의 ‘Website Notice’ 형태로 게시됐으며, 별도의 이메일 안내나 SNS 공지는 이뤄지지 않아 이용자들이 뒤늦게 사건을 알게 됐다는 지적도 나오고 있다.

회사 측에 따르면 유출 대상은 사용자 이름, 생년월일, 연락처 등 기초 계정 데이터다. CIG는 “결제 정보나 비밀번호는 해당 시스템에 저장되지 않아 접근되지 않았으며, 공격자가 데이터를 조회했을 뿐 수정하거나 삽입하지는 못한 것으로 파악됐다”고 설명했다.

CIG는 사고 감지 직후 무단 접근을 차단하고 보안 설정을 강화하는 조치를 취했다고 밝혔으나, 유출된 정보가 이미 암시장에서 유통되고 있을 가능성에 대해서는 모니터링 중이라는 입장이다.

“6주간 뭐 했나”… 이용자 기만 논란

이번 사건의 주요 쟁점은 ‘늑장 공지’다. 해킹 발생 시점은 1월 하순이었으나, 이용자들에게 사실이 전달된 것은 약 6주가 지난 3월 초였다. 이용자들은 개인정보가 노출된 상태에서 한 달 반 동안 아무런 방어 조치를 취하지 못한 채 방치된 셈이다.

커뮤니티 내 여론은 급격히 악화하고 있다. 한 이용자는 “비밀번호가 안전하더라도 생년월일과 이메일은 다른 서비스의 2차 피해로 이어질 수 있는 민감 정보”라며 “이를 한 달 넘게 숨긴 것은 이용자 신뢰를 저버린 행위”라고 비판했다. 또한, 공식 홈페이지 전면이 아닌 확인하기 어려운 경로로 공지한 점도 ‘사건 축소 시도’라는 의심을 사고 있다.

반복되는 게임계 보안 사고… “투명한 공개가 핵심”

게임업계의 대규모 정보 유출 사례는 이번이 처음이 아니다. 국내에서는 지난 2011년 넥슨의 《메이플스토리》가 해킹당해 약 1,320만 명의 개인정보가 유출된 바 있다. 당시에도 백업 서버 침입을 통한 데이터 탈취가 문제였으며, 이후 국내 업계는 보안 가이드라인을 강화하는 계기가 됐다.

전문가들은 기술적인 보안 강화만큼이나 ‘사후 대응의 투명성’이 중요하다고 입을 모은다. 보안 업계 관계자는 “완벽한 방어는 불가능하더라도, 사고 발생 직후 이용자에게 즉각 알려 비밀번호 변경 등 자구책을 마련하게 하는 것이 피해를 최소화하는 정석”이라고 지적했다.

‘신뢰 위기’ 맞은 스타 시티즌

수조 원대 펀딩 자금을 기반으로 장기 개발 중인 라이브 게임 《스타 시티즌》은 그간 개발 지연 문제로 여러 차례 도마 위에 올랐다. 이번 보안 사고와 미흡한 대처는 게임의 완성도 논란을 넘어 기업의 윤리적 책임과 관리 역량에 대한 근본적인 의구심으로 번지는 모양새다.

CIG는 현재 추가 보안 점검을 진행 중이며, 유출 데이터의 외부 유통 여부를 지속적으로 추적하겠다고 밝혔으나 구체적인 이용자 보상책은 내놓지 않았다.