[아!이뉴스] '개인정보 유출·악성코드 만연'…이태원 참사 2차 피해 막자

◆사회적 혼란 악용한 사이버 공격 '기승’

최근 '카카오 먹통 사태', '이태원 참사' 등 사회적 혼란 상황을 악용한 사이버 공격이 기승을 부리고 있다. 카카오톡 설치파일, 보안 점검 서비스 사칭에 이어 정부 보고서로 위장한 악성코드가 연이어 발견되면서 이용자의 주의가 요구된다.

1일 보안업계에 따르면 지난달 31일 '서울 용산 이태원 사고 대처상황'이라는 제목의 파일로 위장한 악성코드가 탐지됐다.

해당 악성파일은 'ms-offices[.]com' 원격지에서 또 다른 파일을 호출하는 방식이다. 도메인은 지난달 24일에 생성됐다. 외부로부터 악성 매크로를 가져와 실행하는 '원격 템플릿 인젝션(remote template injections)'이 사용됐다.

공격자는 중앙재난안전대책본부(중대본)가 배포한 지난달 31일자 이태원 참사 관련 보고서를 모방했다. 정상문서는 한글(hwp) 파일 형태지만 이번에 발견된 악성파일은 MS 워드(DOC) 문서 형식이라는 점이 다르다. 현재까지 공격 배후는 불분명하다.

문종현 이스트시큐리티 이사는 "추가로 인젝션되는 파일이 아직까지 악성 형태로는 발견되진 않은 상황으로 조사를 진행하고 있다"며 "사회적 혼란을 틈타 유사한 보안위협이 발생할 수 있으니 각별한 주의가 필요하다"고 말했다. 현재 한국인터넷진흥원(KISA) 등 유관기관도 상황을 주시하면서 대응에 나선 상황이다.

앞서 지난달 중순에는 카카오 사태를 악용한 피싱 메일과 보안 점검 서비스로 위장한 악성코드가 유포됐다.

같은달 17일 과학기술정보통신부와 KISA는 악성 프로그램 설치를 유도하는 피싱 메일을 확인해 해당 유포 사이트를 긴급 차단했다. 실제 카카오톡 다운로드 파일(KakaoTalkUpdate.zip 등)로 위장해 악성 프로그램을 유포하거나 카카오 장애 관련 문자메시지를 발송, 피싱사이트 로그인을 유도하는 방식이다.

이어 20일에는 '내PC 돌보미' 서비스 프로그램으로 위장한 악성코드가 포착됐다. 해당 서비스는 KISA가 운영하는 보안 취약점 점검 무료 서비스다. 악성코드 감염 피해가 발생했다면 국민 누구나 컴퓨터, 스마트폰 등에 대한 점검 서비스를 받을 수 있다.

해당 악성파일은 KISA를 사칭한 도메인을 통해 'kisa-down[.]com/mypc_care.zip' 등의 압축파일 형태로 유포되고 있다. 악성파일 실행 시에는 아무것도 보이지 않는 것으로 나타났다.

보안 점검 사이트로 위장한 이유는 앞서 정부 차원에서 해킹 관련 공지를 배포하고, 초기 공격을 차단함에 따라 이용자의 의심을 완화하기 위한 조치로 추정된다. 당시 카카오 사태를 악용한 악성코드 유포 배후는 북한으로 지목된 바 있다.

◆"게임법 시행령과 다르다"…문체부, OTT자율등급제 사업자 완화

"게임법(게임산업진흥에 관한 법률 시행령)의 경우 매출 등 자체등급분류사업자를 지정하는 데 대한 기준이 있었다. 저희는 그런 부분이 없다. 부가통신사업자 등으로 등록돼 있으면서 관련 서비스를 영위하고 있다면 누구나 자체등급분류사업자로 신청할 수 있다."

1일 문화체육관광부 측은 온라인동영상서비스(OTT) 자율등급분류사업자 지정 절차와 심사 기준에 대해 이같이 말했다. 사업계획서에 대한 평가 후 지정 여부를 판단할 뿐, 게임법처럼 사업자 신청 자체에 허들은 없다고 설명했다. 자율등급사업자 지정제가 또 다른 규제장벽이 될 수 있다는 우려가 해소된 것이다.

OTT 자율등급분류제란 영상 콘텐츠 공급에 필요한 등급 심사를 티빙·웨이브·왓챠·IHQ 등 OTT 사업자에게 자율적으로 맡기는 제도를 말한다. 국내 OTT 사업자는 콘텐츠를 선보이기에 앞서 영상물등급위원회로부터 사전등급분류 절차를 받아야 했다. 때문에 자율등급제를 시행 중인 글로벌 OTT와 비교해 콘텐츠 공급 속도가 더뎠다.

국내 OTT사업자가 자율등급제 도입 필요성을 꾸준히 주장해왔던 이유다. 이에 국회는 최근 본회의를 열고 '영화 및 비디오물의 진흥에 관한 법률 개정안(이하 영비법 개정안)'을 심의했다. 개정안은 재석 234명, 찬성 228명, 반대 1명, 기권 5명으로 가결된 상태다.

앞서 국내 OTT 사업자는 자율등급사업자 지정과 관련해 우려를 표명해왔다. 신고제 방식이 아닌 문체부 장관으로부터 지정 받는 지정제 방식으로 정해졌기 때문이다. 기존 심사에 준하는 요건 등이 시행령에 기재된다면 자율등급제 법안 취지가 무색해질 수 있다.

지난 9월 OTT협의회는 "OTT업계가 신고제 도입을 요구해온 것과 달리 지정제가 도입되는 등 여전히 과도한 규제로 작용할 우려가 남아 있다"며, "자체등급분류제 도입이 추가적인 규제 신설이 아닌 합리적이고 실효성 있는 제도로 자리매김할 수 있도록 하위법령을 마련하는 데 있어서도 긴밀한 소통을 이어가길 바란다"고 당부했다.

문체부는 이번 시행령과 관련해 사업자 등 업계 의견을 수렴하는 데 주력하고 있다. 이를 토대로 법령 수정 작업 등이 진행 중이다. 이르면 이달 내 시행령에 대한 큰 틀이 공개될 것으로 보인다.

문체부 관계자는 "매출 등 자율등급분류사업자 지정 절차와 심사 기준에 허들은 없다"면서도 "가능하면 하위법령 만들 때 사업자 의견을 많이 반영하려고 노력하고 있다. 현재 의견을 수렴하며 (하위법령을) 조금씩 수정하고 있는 단계"라고 말했다. 이어 "시행령은 이달 중 입법예고될 예정"이라고 덧붙였다.

한편 게임법 시행령은 등급분류사업자 지정 요건으로 ▲등급분류 업무의 안정적인 수행을 위한 재정적 능력을 갖출 것 ▲7명 이상의 문화예술·문화산업·청소년·법률·교육·언론·정보통신 분야에 관한 전문지식과 경험이 풍부한 사람으로 구성된 위원회 형태의 조직을 갖출 것 ▲등급분류 업무의 수행을 위한 회의실 등 업무시설을 갖출 것 등을 규정하고 있다.

◆'논란의 연속' 게임위…게임이용자 소통방안 발표 예고

브컬쳐 게임 등급 상향 조치, 비위 의혹 등 연이은 잡음이 일고 있는 게임물관리위원회가 입을 연다. 논란이 가라앉는 계기로 이어질지 주목된다.

1일 게임업계에 따르면 게임물관리위원회(위원장 김규철, 이하 게임위)는 오는 10일 서울 서대문구에 위치한 수도권사무소 회의실에서 기자간담회를 열고 최근 현안에 대한 후속조치를 발표한다. 이날 현장에는 김규철 게임물관리위원장을 비롯해 사무국장, 본부장, 정책연구소장 등 핵심 관계자가 참석한다. 게임위는 게임이용자 소통강화 방안을 발표하고 질의응답을 받을 예정이다.

게임위는 등급 분류와 모니터링, 불법 게임물 유통 방지 등의 업무를 수행하는 국내 게임물 사후관리 기관으로 최근 '블루 아카이브'를 비롯한 서브컬쳐 게임들의 등급을 일괄 상향하면서 지탄을 받은 바 있다. 게임 이용자들은 게임위의 이같은 조치를 납득할 수 없다며 심의 기준과 등급분류 과정에 대한 소명을 요구하며 목소리를 내며 논란이 확산됐다.

서브컬쳐 게임 사태는 지난달 국회에서 진행된 문화체육관광위원회 국정감사 도마에 오르기도 했다. 이상헌 의원(더불어민주당)은 "게임위의 등급분류 회의록을 공개하라는 목소리가 수년째 나왔지만 회의록을 공개가 이뤄지지 않고 있고 위원들의 전문성까지 의심받고 있다"며 "국민이 납득할 체계적인 분류와 공정하고 투명한 절차가 필요하다"고 지적했다.

비위 의혹도 일고 있다. 이상헌 의원실은 게임위가 2017년 '자체등급분류 게임물 통합 사후관리 시스템'을 구축하기로 하고 총 예산 38억8천만원을 들여 2년 뒤 납품 받은 전산망 시스템이 정상 작동하지 않았으나 개발 업체로부터 아무런 문제 제기를 하지 않는다는 등의 이유로 비위 의혹을 제기한 바 있다.

해당 의혹 규명을 위해 지난달 29일 오후 1시부터 국회의사당역 인근에서 이뤄진 감사원 국민감사청구 연대서명에는 게임 이용자 5천489명이 참여했는데, 단 이틀간의 홍보만으로 이만한 인원이 모인 데에는 게임위에 대한 비토감이 영향을 미쳤다는 시각이 우세하다. 이 의원실은 지난달 31일 감사원에 국민감사 청구서를 접수했다. 향후 열릴 심사평가위원회에서 해당 접수건이 조건에 부합할 경우 실제 게임위에 대한 감사가 이뤄지게 된다. 이러한 사안들은 10일 간담회에서도 다뤄질 것으로 보인다.

◆'팬데믹 수혜' 빠진다…게임업계 연착륙 방안 마련할 때

2020년 초부터 매월 성장을 거듭하던 게임산업에서 '팬데믹 수혜'가 빠지는 흐름이 관찰되고 있다. 그간 팽창한 인건비 부담에 더해 주요 기대작들의 출시 일정도 내년으로 연기되면서 게임사도 연착륙 방안을 마련해야 한다는 지적이 나온다.

1일 게임업계에 따르면 게임 거래액이 지난해를 정점으로 최근 급감하고 있다. 아이지에이웍스의 모바일인덱스 분석에 따르면 구글플레이·애플 앱스토어·원스토어를 합산한 국내 모바일 시장 게임 거래액은 지난해 11월 약 7천77억원 규모에 도달한 이후 올해 9월 25% 감소해 약 5천372억원대로 떨어졌다. 코로나19 확산 전인 2019년 10월 3천304억원을 기록한 점을 고려하면 여전히 높은 수치지만 내년까지 계속 감소할 가능성이 크다.

실제로 글로벌 모바일 게임 시장에서는 이미 지난해부터 지속적인 하락세가 이어지고 있다. 센서타워에 따르면 글로벌 모바일 게임 매출(구글플레이·애플 앱스토어 기준)은 2021년 1분기 226억달러(약 30조원)로 정점을 찍고 3분기부터 하락세에 접어들었다. 2분기 기준 2020년부터 2021년까지 전년 동기 대비 33%, 8%씩 성장했으나 2022년에는 7% 감소했다.

PC 게임 역시 사정은 마찬가지다. 비디오게임 전문 시장조사기관 VG인사이트에 따르면 글로벌 PC 게임 플랫폼 '스팀'은 10월 월간 매출액 기준 2019년 3억500만달러, 2020년 5억3천500만달러, 2021년 6억2천400만달러로 계속 늘었으나 지난달 5억7천800만 달러로 감소한 것으로 나타났다.

오는 2023년에도 코로나19 이전으로의 일상 복귀 등 '엔데믹'에 접어들면서 게임 매출이 감소할 것이라는 전망이 나오는 가운데, 국내 대형 게임사들도 매출 감소를 대비한 연착륙 방안을 추진하고 있다.

가령 엔씨소프트의 경우 올해 신작 부재에도 기존 '리니지' 시리즈 업데이트에 주력하는 전략으로 견고한 매출 순위를 유지하는 동시에 글로벌 매출 비중을 확대했다. 넷마블과 NHN 등은 지난 8월 실적발표에서 비용을 줄이기 위해 채용을 축소하고 인건비를 집중 관리하기로 했다.

게임업계 관계자는 "올해 게임산업 매출 감소는 업계에서 예견된 일"이라면서 "각사마다 대형 신작, 메타버스, P2E, 콘솔 등 플랫폼 변화 등 대비책을 세우고 있지만 내년 옥석이 가려지기 전까지 지켜봐야 할 것"이라고 말했다.

◆"2차 피해 막자"…해외 SNS 집중 모니터링 강화

지난 29일 밤 서울 용산구 이태원에서 발생한 압사 사고와 관련해 해외 SNS도 집중 모니터링을 실시하고 있다. 앞서 사고 당일 현장 사진이나 영상이 여과 없이, 빠르게 퍼지거나 확인되지 않은 사실이 유포되는 등으로 우려가 커지면서 후속 대응에 주력하는 모습이다.

1일 관련 업계에 따르면 인스타그램, 유튜브, 틱톡 등은 이번 사고와 관련해 각자 마련한 내부 정책(가이드라인)에 따라 조치를 취하고 있다고 했다. 인스타그램 측은 "이번 사고와 관련해 집중적인 모니터링을 실시하고 있다"고 설명했다.

유튜브는 "이번 사건과 관련된 검색 및 추천 결과에서 공신력 있는 출처의 뉴스 영상들을 우선적으로 제공하고 있다"며 "유튜브 커뮤니티 가이드라인에 따라 콘텐츠를 삭제하거나 연령 제한 적용 조치를 취하고 있다"고 덧붙였다.

또 "유튜브의 목표는 맞춤 동영상에서 발생하는 정책 위반 경계선상에 있는 콘텐츠 조회수를 유튜브 전체 조회수의 0.5% 미만으로 유지하는 것"이라고 했다.

숏폼(짧은 분량의 영상) 서비스를 제공하는 틱톡 측도 "커뮤니티 가이드라인에 따라 정책을 위반하는 콘텐츠를 삭제 조치하고 있다"며 "인앱 알림을 통해 관련 게시물 게시 및 공유를 자제해 달라는 안내도 진행했다"고 덧붙였다.

이들 서비스는 각자 가이드라인을 토대로 서비스 내에서 유통되는 게시물(콘텐츠)에 대한 모니터링을 강화한 모습이다. 일부에선 기존에도 이런 정책에 따라 선거 등 굵직한 사회적 이슈가 있을 때면 전반적인 모니터링을 강화해 왔다고 했다. 하지만 이번 사고는 허위 사실이나 현장 사진 및 영상의 빠른 확산으로 정신적 피해가 우려된단 지적도 나온 만큼 지속적인 모니터링 등에 대한 필요성이 제기된다

최경진 가천대학교 법학과 교수는 "피해자 입장에선 최대한 빨리 글을 차단하거나 전송을 중단시키는 게 효과적일 수 있지만 게시글을 함부로 삭제하냐는 반박이 나올 소지가 있을 수밖에 없다"며 "정해진 절차와 기준에 따라 게시글을 차단 또는 삭제하는 등 임시조치를 했을 때 사업자에게 책임을 묻지 않겠다는 적법 절차가 있으면 보다 적극적으로 나설 유인이 생길 것"이라고 진단했다.

김문기 기자의 다른 기사 보기

• 3.7㎓ 주파수 '폭풍전야'…쏘카 차 어떻게 만들어지나

• 방통위, 트위치 화질제한 실태점검…카카오모빌리티, '일반 부스터 호출'