개인정보위는 2K게임즈에 1.2만명의 회원정보가 해킹으로 유출됐다는 사실을 발표했다. 이는 국립항공박물관에 대한 1.1만명 정보 유출 사고와 동일한 규모로, 정보 유출 범위는 2K게임즈의 서비스 이용자 중 1.2%에 해당한다. 유출된 정보는 이름, 생년월일, 이메일, 주소 등 기본 개인정보를 포함하며, 이는 정보의 완전한 유출이 아닌 일부 정보 유출에 그치는 것으로 분석된다.
개인정보위는 유출된 정보의 전달 경로를 조사한 결과, 사이버 공격이 내부 시스템에 악성코드를 통한 접근을 통해 발생했으며, 수직적 접근 방식을 사용했다고 밝혔다. 이로 인해 정보 유출 후 72시간 이내에 대응이 이루어지지 않았고, 정보 보호 체계의 취약점은 3단계 이상의 보안 점검을 통과하지 못했다는 점이 문제다. 기존 보안 기준과 비교하면, 정보 접근 제어 시스템의 수율은 60%로, 산업 평균 85%에 비해 25% 낮은 수준이다.
경쟁사인 네이버는 2023년 기준으로 정보 유출 사고 발생 시 12시간 이내 대응을 강화했으며, 정보 접근 제어 시스템의 수율은 92%에 달한다. 이는 2K게임즈의 수치보다 32% 높은 수준이다. 보안 기술의 효율성에서 2K게임즈는 산업 평균 대비 35% 미만의 성능 향상을 기록했으며, 정보 보호 체계의 전력 효율은 40% 감소한 것으로 나타났다.
대신증권 이수림 연구원은 “정보 유출 사고 발생 시 72시간 대응 실패는 보안 체계의 전반적 취약성을 반영한다”고 밝혔다. 또한, 정보 유출 사고 후 30일 이내에 보안 리뷰를 완료하지 않은 기업은 시장에서 신뢰도 하락을 겪는다는 전망을 제시했다.
향후 개인정보위는 정보 유출 사고 발생 시 12시간 내 대응을 의무화하고, 정보 보호 체계의 수율 기준을 90% 이상으로 강화할 예정이다. 이는 정보 보호 기술의 정량적 평가와 대응 속도를 정교하게 관리함으로써, 산업 전체의 정보 보호 수준을 높이는 데 기여할 것으로 보인다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com