넷마블 고객정보 유출 확인…암호화만으론 막기 어려운 해킹 리스크

대형 게임사의 고객 정보가 또다시 외부 해킹에 노출되며 국내 디지털 서비스 전반의 보안 내성이 시험대에 올랐다. 넷마블은 최근 PC 게임 서비스 인프라를 겨냥한 침해 사고로 고객과 임직원 일부의 개인정보가 유출된 사실을 공개했다. 주민등록번호와 같은 고유식별정보나 계정 비밀번호 원문은 노출되지 않았다고 설명했지만, 이름과 생년월일, 연락처 등 식별이 가능한 정보가 포함돼 있어 2차 사회공학 공격과 피싱 위험에 대한 우려가 여전히 제기된다. 업계에서는 글로벌 온라인 게임 플랫폼이 모두 표적이 되는 상황에서 이번 사고가 국내 게임 산업의 보안 투자와 규제 수준을 재점검하는 분기점이 될 수 있다고 보고 있다.

넷마블은 22일 외부 해킹 공격 정황을 내부 보안 모니터링 과정에서 감지한 뒤 침해 사고 분석에 들어갔다. 회사는 26일 공식 홈페이지와 각 PC 게임 사이트 공지를 통해 사고 사실을 공개하고 사과문을 게시했다. 넷마블 설명에 따르면 유출된 데이터에는 PC 게임 사이트 이용 고객의 이름과 생년월일, 암호화된 형태의 로그인 비밀번호가 포함돼 있으며, 일부 전·현직 임직원의 회사 이메일 주소와 전화번호, 2015년 이전 PC방 가맹사업주 이름과 이메일도 들어갔다. 사고 범위는 현재 디지털 포렌식과 로그 분석을 통해 계속 확정 중이다.

이번 공격은 웹 서비스 계정 체계와 데이터베이스를 직접 노린 침해 시도로 파악된다. 온라인 게임 서비스는 이용자 계정 관리 서버, 게임 서버, 결제 시스템이 분리돼 운용되는데, 이 가운데 고객 식별 정보를 보관하는 영역이 주요 목표가 된 셈이다. 넷마블은 고객 비밀번호를 해시 알고리즘 등 암호화 방식으로 저장해 원문이 바로 노출되는 상황은 막았다고 설명했다. 암호화는 비밀번호를 일방향 수식으로 변환해 저장하는 기술로, 해커가 데이터베이스를 확보하더라도 추가 연산과 추론을 거치지 않는 한 즉시 계정 탈취에 활용하기 어렵게 한다.

그러나 이름과 생년월일, 이메일 주소, 전화번호는 암호화를 적용하더라도 실사용 과정에서 평문 또는 부분 암호화 형태로 관리되는 경우가 많아, 계정·결제보다 정보 수집 그 자체를 노린 공격에는 여전히 취약점으로 남는다. 특히 복수의 게임과 커뮤니티, 전자상거래에 동일한 이메일을 사용하는 이용자 비중이 높은 국내 인터넷 환경 특성상, 한 번 새나간 식별 정보는 다른 플랫폼 계정 찾기, 스팸 문자, 맞춤형 피싱 메일 제작에 활용될 가능성이 존재한다는 지적도 제기된다. 전문가들은 해시·암호화 기술 도입과 별개로 데이터 최소 수집과 보존 기간 단축 같은 구조적 개선이 병행돼야 실질적인 피해를 줄일 수 있다고 본다.

넷마블은 주민등록번호, 여권번호 등 고유식별정보와 건강·결제 내역 같은 민감정보는 유출 범위에서 제외된 것으로 판단하고 있다고 강조했다. 또한 암호화된 비밀번호만으로는 즉각적인 계정 탈취가 어렵다고 설명하면서도, PC 게임 사이트 내 18종 게임 이용자 전체에게 비밀번호 변경을 권고했다. 이는 해커가 대량 비밀번호 대입 공격을 통해 일부 약한 조합을 역추적할 가능성을 사전에 차단하려는 조치로 풀이된다. 최근 글로벌에서 발생한 대형 침해 사고 사례를 보면, 암호화된 비밀번호도 단순 문자열이나 재사용 패턴일 경우 짧은 시간 내 복호화 또는 추론이 이뤄진 전례가 있다.

시장 측면에서는 국내 주요 게임사가 공격 표적이 됐다는 점에서 보안 투자와 운영 방식이 재조명되는 분위기다. PC방 가맹 데이터가 포함된 점은 게임 이용자뿐 아니라 오프라인 사업 생태계에도 여파를 줄 변수다. 2015년 이전 가맹 사업주 정보를 활용한 스팸·보이스피싱 시도 가능성이 남아 있기 때문이다. 실제로 대형 온라인 서비스에서 통신·이메일 정보가 새나간 이후 비슷한 명의로 위장한 사칭 메일과 문자 메시지 공격이 급증하는 패턴이 반복돼 왔다. 이용자 입장에서는 비밀번호 변경뿐 아니라, 동일 이메일을 쓰는 타 서비스의 계정 보안 점검과 출처가 불분명한 연락에 대한 경계가 요구된다.

글로벌 게임·플랫폼 업계에서도 대규모 해킹과 정보 유출 사고는 반복돼 왔다. 대형 콘솔 네트워크나 글로벌 메신저, 소셜 네트워크 서비스는 계정 정보가 털릴 때마다 다중 인증과 비밀번호 무작위화, 접속 이력 알림 기능 등을 도입하며 대응 수위를 높여왔다. 반면 국내 게임 산업은 실명 인증과 결제 편의에 초점을 맞춘 개인정보 수집 체계를 오랫동안 유지해 왔고, 이 과정에서 이용자 식별 정보가 집중되는 구조가 형성됐다. 규제 당국이 매번 개별 사고에 대해 과징금과 시정 조치를 부과해 왔지만, 업계 전반의 데이터 거버넌스 수준이 글로벌 최고 수준에 도달했다고 보기는 어렵다는 평가도 있다.

넷마블은 고객 정보 유출 정황을 확인하고 유출 사실을 검증한 25일 오후 한국인터넷진흥원과 개인정보보호위원회에 사고를 신고했다. 국내 개인정보보호법 체계는 일정 규모 이상의 정보 유출이 발생했을 때 지체 없이 관계기관에 신고하고, 고객에게도 통지하도록 규정하고 있다. 이후에는 유출 규모와 원인, 취약점 보완 계획을 포함한 개선 보고를 제출해야 하며, 조사 결과에 따라 과징금과 과태료, 행정 명령이 뒤따를 수 있다. 특히 최근 개인정보보호위원회는 온라인 플랫폼 서비스에 대한 제재 수위를 높이는 기조를 유지해 온 만큼, 사고 경위와 대응 수준에 따라 제재 강도도 달라질 수 있다.

넷마블은 고객 보호를 최우선 가치로 삼고 시스템 전반에 대한 확대 점검과 재발 방지 대책 수립에 나섰다고 밝혔다. 침입 경로와 취약 지점에 대한 분석 결과는 관계기관 조사와 병행해 공개할 방침이며, 추가 침입 가능성을 차단하기 위한 네트워크 분리, 접근 제어 강화, 로그 모니터링 고도화 등 기술적 조치를 진행 중인 것으로 알려졌다. 정보보호 업계에서는 단일 사업자의 보안 강화만으로는 게임 산업 전체 공격면을 줄이기 어렵다는 점에서, 공용 인증체계 보완과 클라우드 전환 가이드라인, 침해 정보 공유 체계 확립 등 산업 차원의 공동 대응이 필요하다는 의견도 나온다.

보안 전문가들은 온라인 게임과 콘텐츠 플랫폼이 디지털 경제에서 차지하는 비중이 커진 만큼, 이번 사고가 게임 산업의 보안 체계 전반을 끌어올리는 계기가 돼야 한다고 강조한다. 동시에 기업의 기술적 조치와 함께 이용자 스스로 비밀번호 재사용을 줄이고 다중 인증을 활성화하는 등 기본적인 보안 습관을 갖추는 것이 중요하다고 지적한다. 결국 산업계는 이번 해킹 사고를 계기로 보안 투자와 개인정보 처리 구조 혁신이 실제 시장에 안착할 수 있을지 주시하고 있다.