넷마블 개인정보 추가 유출 확인…주민번호까지 뚫렸다

게임 산업 전반의 데이터 보안 리스크가 다시 수면 위로 떠올랐다. 넷마블이 최근 해킹 사고 후속 조사에서 주민등록번호가 포함된 추가 개인정보 유출을 인정하면서, 장기간 축적돼 온 레거시 고객·채용 데이터 관리 체계가 근본적으로 검증대에 오른 분위기다. 업계에서는 온라인 서비스 기업 전반의 보안 거버넌스와 규제 당국의 점검 강도가 한층 높아질 분기점으로 보고 있다.

넷마블은 3일 자사 홈페이지 공지사항을 통해 최근 발생한 외부 해킹 사고와 관련해 8048건의 개인정보가 추가 유출된 사실을 알렸다. 이번에 확인된 대상에는 이용자와 지원자의 주민등록번호가 일부 포함된 것으로 드러났다. 지난달 27일 1차 조사 결과 발표 당시에는 주민등록번호 등 민감 정보는 유출되지 않았다고 설명한 바 있어, 보안 체계뿐 아니라 내부 조사 과정의 신뢰성도 도마에 오를 전망이다.

넷마블이 공개한 세부 내용에 따르면 추가 유출 정보는 과거 고객센터 문의 이력, 온라인 입사 지원서, 채용박람회 부스 방문자 정보, 기업 간 거래 사업 제안 관련 정보 등으로 구성돼 있다. 2003년부터 2004년까지 고객센터 문의를 남긴 이용자의 이름, 이메일, 상담자 확인 내용 3185건이 유출됐고, 이 가운데 주민등록번호 포함 건수는 314건이다. 또 2003년부터 2006년까지 온라인 입사 지원자의 이름, 이메일, 입사지원서 기재 내용 2022건이 외부에 노출됐으며 이 중 주민등록번호가 포함된 건수는 990건으로 집계됐다. 이외에도 채용박람회 부스를 방문한 인원의 전화번호 등 966건, 기업 간 거래 사업 제안 담당자의 전화번호와 사업제안서 기재 내용 등 1875건의 정보가 추가 유출된 것으로 확인됐다.

이번 사고의 기술적 배경은 넷마블 게임 포털 시스템이 외부 해킹 공격에 노출된 데서 출발한다. 통상 대형 게임사는 로그인·결제 시스템을 포함한 계정 DB, 고객센터 이력, 채용 시스템 등 여러 정보 시스템을 분리 운영하지만, 과거 시스템에서 생성된 데이터가 암호화 수준이 낮거나, 장기간 보관되면서 최신 보안 정책이 충분히 반영되지 못한 경우 공격자가 침투 후 내부 권한을 확대하기 쉬운 구조가 된다. 특히 주민등록번호와 같은 고유식별정보는 암호화 저장, 별도 분리보관, 가명처리 등 법적 보호 조치가 요구되지만, 2000년대 초반 수집된 레거시 데이터는 당시 기준에 맞춰 저장된 뒤 이후 이행 관리가 미흡했을 가능성이 제기된다.

넷마블 사례에서 추가로 확인된 정보 유형은 이름과 이메일, 전화번호, 상담 및 제안 내용 등으로 구성돼 공격자 입장에서는 소셜 엔지니어링, 표적 피싱, 계정 탈취 시도 등에 활용될 수 있다. 특히 채용 관련 데이터와 B2B 제안 담당자 정보는 기업 내부 조직 구조와 담당자 네트워크를 파악하는 데 유용해, 향후 2차 공격의 토대가 될 수 있다는 우려가 나온다. 주민등록번호가 포함된 약 1300건의 정보는 대포폰 개통, 금융사기 시도 등 직접적인 신원 도용 리스크로 이어질 수 있어, 피해자 본인 확인 및 모니터링 체계 강화가 요구된다.

게임 산업 전체로 보면, 이번 사건은 막대한 이용자 기반을 보유한 게임 포털의 보안 관리가 금융·통신 분야와 같은 수준으로 고도화돼야 한다는 신호로 읽힌다. 대형 게임사는 수년간 계정 도용, 아이템 환불 사기 등에 대응해 왔지만, 주민등록번호를 포함하는 구형 DB 정리, 파기, 비식별화 작업은 상대적으로 후순위로 밀렸다는 평가도 있다. 글로벌 시장에서는 이용자 식별 수단이 이메일, 휴대전화, 소셜 로그인 중심으로 바뀐 반면, 국내에서는 과거 실명제와 본인인증 정책의 영향으로 주민등록번호 기반 계정 체계가 오랫동안 유지돼 온 점도 리스크 요인으로 지적된다.

넷마블은 지난달 27일 1차 자체 조사 결과를 통해 게임 포털 사이트가 해킹 공격을 받아 611만여 명에 달하는 고객과 임직원 정보가 유출됐다고 밝힌 바 있다. 당시에는 주민등록번호 등 민감 정보는 포함되지 않았다고 설명했지만, 추가 조사에서 주민등록번호 노출이 확인되면서 실제 침해 범위가 처음 인지된 수준보다 넓었음이 드러났다. 정보보호 업계에서는 대규모 침해 사고의 경우 초기 포렌식 범위 설정, 로그 수집 한계 등으로 인해 피해 규모가 단계적으로 확대되는 양상이 반복되고 있어, 보다 정밀한 지속 조사와 투명한 정보 공개가 필요하다는 목소리가 나온다.

국내 개인정보보호 규제 체계는 정보통신망법과 개인정보보호법을 통해 정보통신서비스 제공자와 일반 사업자의 책임을 규정하고 있다. 주민등록번호는 고유식별정보로 분류돼 암호화 저장, 접근권한 최소화, 보관 기간 관리 등 강화된 보호 조치가 요구된다. 특히 과거 수집된 주민등록번호를 삭제하거나 대체 식별값으로 전환하도록 하는 제도적 유도책이 마련돼 왔지만, 실제로는 레거시 시스템에 잔존하는 데이터에 대한 정리 작업이 늦어지는 사례가 적지 않다. 넷마블의 추가 유출 확인은 이러한 사각지대가 현실화된 사례로 받아들여진다.

넷마블 관계자는 고객 정보를 철저히 보호하지 못한 데 대해 거듭 사과하며, 사고 원인 규명을 위해 관계기관 조사에 성실히 임하고 재발 방지를 위해 전사적인 보안 강화에 총력을 기울이겠다고 밝혔다. 구체적으로는 해킹 경로 분석, 유출 범위 확정, 레거시 데이터 정비, 암호화 및 접근통제 강화 등 전반적인 보안 인프라 재점검이 뒤따를 것으로 보인다. 개인정보보호위원회를 비롯한 관계 당국은 조사 결과에 따라 과징금, 행정지도, 개선 명령 등을 검토할 수 있다.

전문가들은 이번 사고를 계기로 게임과 포털, 콘텐츠 플랫폼 사업자가 데이터 최소 수집 원칙과 보관 기간 제한, 가명처리 등 데이터 거버넌스를 근본적으로 재정비할 필요가 있다고 조언한다. 또 주민등록번호 등 고유식별정보 의존도를 줄이고, 인증 체계 현대화와 레거시 시스템 분리·폐기 전략을 병행해야 유사 사고를 줄일 수 있다고 본다. 산업계는 넷마블의 보안 강화 조치가 실제 시장에 안착해 이용자 신뢰 회복으로 이어질 수 있을지 주시하고 있다.