넷마블은 22일 바둑·장기 등 PC 게임 포털사이트에서 외부 해킹 공격을 당했고, 휴면 계정을 포함해 611만 명의 고객 및 임직원 정보가 유출됐다. 유출된 정보는 이름과 생년월일, 암호화된 비밀번호 등으로, 주민등록번호나 전화번호 같은 민감정보는 유출되지 않았다. 휴면 처리된 ID와 암호화된 비밀번호는 총 3100만 개로, 회원 1인당 최대 5개까지 중복 생성된 것으로 파악됐다. 또한 2015년 이전 PC방 가맹점 6만 6000여 곳의 사업주 이름, 이메일과 전·현직 임직원의 이름, 생년월일, 회사 이메일 등 약 1만 7000건도 함께 유출됐다.
한국인터넷진흥원KISA 공시에 따르면 넷마블이 지난해 정보보호 부문에 지출한 금액은 약 57억원으로, 전체 IT 투자액 1100억원의 5.2%에 불과했다. 엔씨소프트는 182억원, 넥슨코리아는 228억원, 크래프톤은 97억원을 보안에 투자했다. 넷마블은 2021년 73억원, 2022년 66억원, 2023년 52억원을 지출하며 정보보호 투자 규모를 연간 21억원 이상 감소시켰다. 반면 엔씨소프트는 2021년 162억원에서 2023년까지 약 12% 증가했고, 넥슨코리아는 67%, 크래프톤은 138% 증가했다.
이정헌 더불어민주당 의원실에 따르면 넷마블은 해킹 피해를 인지한 시점이 22일 오후 8시 56분으로, 법정 신고 기준인 침해 정황 인지 시점에서 24시간 이내, 개인정보 유출 사실에서 72시간 이내에 신고해야 하는데, 신고는 25일 오후 8시 40분에 이루어졌고, 총 약 72시간이 걸렸다. 넷마블은 “고의적 지연이나 축소 행위는 전혀 없었다”며 “최초 인지 시점부터 고객 정보 긴급 보호 조치에 최선을 다했다”고 해명했다.
넷마블은 해킹 경로와 유출 규모를 조사 중이며, 시스템 전반에 대한 확대 점검을 진행할 계획이다. 시장에서는 정보 유출 후 보안 투자 부족이 기업 신뢰성에 부정적 영향을 미칠 수 있다고 전망했다.
넷마블은 정보 유출로 고객 보호를 최우선 가치로 삼아 필요한 보호조치와 재발 방지 대책 수립에 만전을 기할 것이다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com