CloudPNG

ºC

logo
IT/바이오

넷마블 PC 포털 해킹…611만명 개인정보 유출 파장

이도윤 기자
입력

넷마블 PC 게임 포털이 대규모 해킹 공격을 받으며 600만명이 넘는 고객과 일부 임직원의 정보가 유출됐다. 암호화된 비밀번호를 포함한 방대한 계정 정보가 외부로 유출되면서 게임 산업 전반의 보안 체계와 개인정보 관리 수준에 대한 우려가 커지고 있다. 특히 PC방 가맹점과 전현직 임직원 정보까지 노출된 것으로 드러나, 국내 게임사가 보유한 온·오프라인 이용자 데이터 보호 전략을 근본적으로 재정비해야 한다는 지적이 나온다. 업계에서는 이번 사고를 게임 플랫폼 보안 경쟁의 분기점으로 보는 분위기다.  

 

넷마블은 27일 PC 게임 포털 사이트 해킹에 따른 고객 및 일부 임직원 정보 유출 건에 대한 자체 조사 결과를 공개했다. 지난 22일 침해 사실을 확인한 뒤 범위를 추적한 결과, 바둑과 장기 등 PC 게임을 서비스하는 포털 사이트 회원 가운데 휴면 계정을 포함해 약 611만명의 정보가 유출된 것으로 집계됐다.  

유출된 고객 정보 항목은 이름과 생년월일, 암호화된 비밀번호로 파악됐다. 주민등록번호 등 고유식별정보와 민감정보는 저장 구조와 분리 관리 정책으로 인해 유출 대상에서 제외된 것으로 조사됐다. 게임사는 일반적으로 비밀번호를 단방향 암호화 방식으로 저장해 원문 복원을 어렵게 하는데, 넷마블도 이런 구조를 적용해 왔다고 설명했다. 다만 암호화된 비밀번호라 하더라도 무차별 대입 공격 등으로 일부가 복호화될 가능성을 배제하기 어렵다는 점에서, 계정 도용과 2차 피해 우려는 남아 있는 상황이다.  

 

넷마블은 이미 이름과 생년월일 등 식별 정보가 삭제돼 개인을 특정할 수 없는 상태였으나, 휴면 처리된 채 남아 있던 ID와 암호화된 비밀번호 약 3100만개가 함께 유출된 사실도 확인했다. 이는 포털 회원 1인이 최대 5개까지 중복 ID를 생성할 수 있는 구조에서 비롯된 누적 수치로, 사실상 플랫폼의 전체 계정 자산이 한 번에 공격받은 셈이다.  

 

고객 계정뿐 아니라 게임 생태계를 구성하는 주변 주체들의 데이터도 피해를 입었다. 2015년 이전 PC방 가맹점 6만6000여곳의 사업주명, ID, 이메일 주소 등이 유출된 것으로 잠정 파악됐다. 또 전현직 임직원의 이름과 생년월일, 회사 이메일 주소 등 약 1만7000건의 정보도 함께 노출됐다. 국내 게임 산업에서 PC방은 핵심 오프라인 인프라로, 가맹점 정보 유출은 업주 대상 피싱, 계정 탈취, 정산 관련 사칭 공격으로 이어질 수 있어 추가 보안 조치가 요구된다.  

 

이번 사고 양상은 게임사가 보유한 대규모 계정 데이터베이스와 장기간 유지되는 휴면 계정이 복합적으로 취약지점을 형성한 사례로 해석된다. 이용자 입장에서는 오래 사용하지 않는 게임 계정도 여전히 유출 대상이 될 수 있고, 동일한 ID나 유사 비밀번호를 다른 서비스에서 사용했다면 연쇄 계정 탈취 공격에 노출될 수 있다. 특히 게임 계정은 아이템과 포인트, 결제 정보와 연계되는 경우가 많아 실질적인 자산 피해로 직결될 위험이 존재한다.  

 

글로벌 시장에서는 이미 게임 산업이 금융·전자상거래와 비슷한 수준의 공격 빈도를 겪고 있다. 해외 주요 플랫폼 기업들은 비밀번호 무력화에 대비해 다중 인증과 로그인 이력 분석, 이상 징후 실시간 탐지 등 보안 계층을 강화해 왔다. 국내에서도 일부 대형 게임사가 보안 토큰, 일회용 비밀번호, 접속지 기반 로그인 차단 등을 도입했지만, 휴면 계정 관리와 과거 서비스 데이터 정리에는 상대적으로 소홀했다는 평가가 나온다.  

 

규제와 제도 측면에서 이번 사고는 정보통신망법과 개인정보보호법이 요구하는 기술적·관리적 보호조치 이행 수준을 다시 점검하는 계기가 될 전망이다. 국내 게임사는 방대한 이용자 데이터를 다루는 정보통신서비스 제공자에 해당해, 침해 사고 발생 시 관계 기관에 신고하고 당사자에게 통지해야 한다. 유출 규모와 관리 부실 여부에 따라 행정 제재나 과징금 부과 가능성도 거론된다.  

 

넷마블은 침해 사실과 유출 규모를 상세히 공개한 배경에 대해 고객 혼선을 최소화하고 정보 공개의 투명성을 확보하기 위한 조치라고 설명했다. 회사 관계자는 이번 해킹으로 개인정보가 유출된 데 대해 사과를 전하며, 고객에게 실질적인 피해가 발생하지 않도록 대응에 최선을 다하고 관계기관 조사에도 성실히 임하겠다고 밝혔다. 동시에 시스템 전반을 대상으로 한 확대 점검과 재발 방지 대책 수립에 나설 계획이라고 덧붙였다.  

 

IT 업계에서는 대형 게임 플랫폼을 겨냥한 사이버 공격이 계속 고도화되는 가운데, 휴면 계정 정리와 암호화 강도 상향, 다중 인증 의무화 등 구조적인 개선이 이뤄지지 않으면 유사한 사고가 반복될 수 있다고 우려한다. 게임 산업뿐 아니라 다른 온라인 서비스 전반으로 공격이 확산될 수 있는 만큼, 산업계는 이번 사고 이후 실제 보안 체계가 얼마나 빠르게 개선될지 주시하고 있다.

이도윤 기자
share-band
밴드
URL복사
#넷마블#pc게임포털#개인정보유출