넷마블은 22일 PC 게임 포털사이트에서 외부 해킹을 당했고, 휴면 계정을 포함해 611만 명의 고객 및 임직원 정보가 유출됐다. 유출된 정보는 이름, 생년월일, 암호화된 비밀번호 등으로, 주민등록번호나 전화번호 같은 고유식별정보는 포함되지 않았다. 휴면 처리된 ID와 암호화된 비밀번호는 3100만 개로, 회원 1인당 최대 5개까지 중복 생성된 것으로 확인됐다. 또한 2015년 이전 PC방 가맹점 6만 6000여 곳의 사업주 정보와 전·현직 임직원 이름, 생년월일, 회사 이메일 등 1만 7000건도 함께 유출됐다.
한국인터넷진흥원KISA의 ‘정보보호 공시현황’에 따르면 넷마블이 지난해 정보보호 부문 투자액은 약 57억원으로, 전체 IT 투자액 1100억원의 5.2% 수준이다. 엔씨소프트는 182억원, 넥슨코리아는 228억원을 투자했고, 크래프톤은 97억원을 투자했다. 넷마블은 2021년 73억원, 2022년 66억원, 2023년 52억원을 지출해 연간 보안 투자액이 감소했다. 반면 엔씨소프트는 2021년 162억원에서 지난해 약 12% 증가했고, 넥슨코리아는 67%, 크래프톤은 138% 증가했다.
넷마블은 해킹 사고를 인지한 시점이 22일 오후 8시 56분으로, 신고 시점은 25일 오후 8시 40분으로, 총 72시간이 걸렸다. 현행 정보통신망법상 개인정보 유출은 72시간 이내 신고가 되어야 하며, 이에 대해 넷마블은 “고의적 지연이나 축소 행위는 전혀 없었다”며 “최초 인지 시점부터 고객 정보 긴급 보호 조치에 최선을 다했다”고 해명했다.
넷마블 관계자는 “이번 사고로 고객님께 불편과 심려를 끼쳐드린 점에 사과드린다”며 “고객 보호를 최우선 가치로 삼아 필요한 보호조치와 재발 방지 대책 수립에 만전을 기하겠다”고 밝혔다. 회사는 시스템 전반에 대한 확대 점검을 진행할 계획이다.
이번 사고는 보안 투자 비율에서 산업 평균을 하향시키는 것으로, 정보 보호 수준이 전반적으로 약화된 상황을 보여준다. 향후 기업의 정보 보호 전략은 보안 투자 비율과 실질적 점검 빈도에 따라 결정될 전망이다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com