CloudPNG

ºC

logo
경제

정보보호 투자 3년간 27 감소…넷마블, 3N 최저 수준 속 611만명 정보유출

윤선우 기자
입력

국내 대형 게임사 넷마블에서 약 611만명 규모의 개인정보 유출 사고가 발생한 가운데, 이 회사의 정보보호 투자가 최근 3년간 27 줄어든 데다 주요 경쟁사 대비 가장 낮은 수준에 머문 것으로 나타났다. 보안 투자 축소 흐름이 대형 사고 리스크를 키운 것 아니냐는 우려가 커지며, 정부가 운영 중인 정보보호 공시제도의 실효성에도 관심이 쏠린다.

 

한국인터넷진흥원 정보보호 공시현황에 따르면 넷마블은 2024년 정보보호 분야에 약 57억 원을 지출했다고 밝혔다. 같은 해 전체 정보기술 IT 부문 투자액은 1,100억 원으로, 정보보호 예산 비중은 5.2 수준에 그친다. 국내 대표 게임사로 꼽히는 이른바 3N 넥슨·넷마블·엔씨소프트 가운데 보안 투자 규모가 가장 적은 셈이다.

넷마블, 3N 중 정보보호 투자 최저…3년간 27% 축소 속 611만명 개인정보 유출
넷마블, 3N 중 정보보호 투자 최저…3년간 27% 축소 속 611만명 개인정보 유출

동일 기간 경쟁사들은 보안 예산을 넷마블보다 크게 책정한 것으로 나타났다. 엔씨소프트는 2024년 정보보호 분야에 182억 원을 투입했고, 넥슨코리아는 228억 원을 집행한 것으로 공시됐다. 시가총액 기준 국내 상장 게임사 1위인 크래프톤도 정보보호에 97억 원을 지출해 넷마블을 웃도는 수준의 투자를 진행했다.

 

넷마블의 보안 예산은 추세상 감소 흐름이 뚜렷했다. 정보보호 투자는 2021년 73억 원에서 2022년 66억 원, 2023년 52억 원으로 2년 연속 줄었다. 2024년 들어 57억 원으로 소폭 늘었지만, 2021년과 비교하면 3년간 누적 감소율은 약 27에 이른다. 업계에서는 실적 부진과 비용 절감 기조 속에 보안 예산이 후순위로 밀린 것 아니냐는 분석도 제기된다.

 

반면 주요 경쟁사들은 같은 기간 보안 투자를 확대했다. 엔씨소프트는 2022년 이후 게임 매출 감소가 본격화됐음에도 정보보호 예산을 줄이지 않고, 2021년 162억 원에서 2024년 182억 원으로 약 12 늘렸다. 넥슨코리아는 같은 기간 투자액을 67 확대했고, 크래프톤도 138 늘린 것으로 나타났다. 대형 게임사 대부분이 매출 변동과 무관하게 사이버 보안 리스크에 선제 대응하고 있는 셈이다.

 

정보보호 공시제도를 총괄하는 정부도 디지털 서비스 기업의 보안 투자를 중요한 감독 영역으로 보고 있다. 과학기술정보통신부는 2021년부터 한국인터넷진흥원을 통해 정보보호 공시제도를 시행 중이다. 제도 대상은 ISP 인터넷 서비스 제공사, 인터넷데이터센터 IDC, 상급종합병원, 클라우드 서비스 제공자, 연 매출 3,000억 원 이상의 상장법인, 정보통신서비스 일일 평균 이용자 수 100만명 이상 기업 등이다.

 

해당 기업과 기관은 매년 정보보호 관련 투자 규모와 전담 인력, 보안 인증 현황 등을 KISA에 제출해 공시해야 한다. 당국은 이를 통해 업종별 보안 투자 수준을 비교 가능하게 만들고, 기업 스스로 보안 역량을 점검하도록 유도하고 있다. 정보보호 예산과 인력 현황이 외부에 공개되는 만큼, 사고 발생 시 책임론도 동시에 부각되는 구조다.

 

넷마블은 최근 자체 조사 결과를 통해 자사 바둑·장기 등 PC 게임 포털사이트가 해킹 공격을 받아 고객과 임직원 등 약 611만명분의 개인정보가 유출됐다고 밝혔다. 유출 대상에는 이름, 연락처 등 기본 정보 외에 게임 서비스 이용과 관련한 각종 계정 정보가 포함된 것으로 파악됐다. 회사 측은 정확한 침해 경로와 피해 범위를 확인하기 위해 외부 보안 전문기관과 정밀 조사를 진행 중이라고 설명했다.

 

넷마블은 또 고객·임직원 정보 외에도 개인 식별이 불가능한 형태로 저장돼 있던 휴면 ID와 비밀번호 등 계정 정보 약 3,100만여개가 함께 유출된 것으로 추정했다. 2015년 이전 PC방 가맹점 약 6만6,000여곳의 사업주 이름과 이메일 정보도 공격 대상에 포함된 정황이 확인됐다. 피해 규모가 장기간 쌓인 계정과 영업 파트너 영역까지 확장되면서, 추가적인 2차 피해 우려도 제기된다.

 

정보보호 투자 축소와 대규모 개인정보 유출이 겹치자, 게임업계 전반의 보안 투자 수준을 재점검해야 한다는 목소리도 나온다. 보안 업계에서는 온라인 게임사가 수집·축적하는 이용자 데이터 규모와 서비스 특성을 감안하면, 정보보호 예산과 전담 인력의 일정 수준 상향이 불가피하다고 지적한다. 특히 장기 휴면 계정과 가맹점 정보 관리, 구 시스템 보안성 검증이 주요 과제로 꼽힌다.

 

전문가들은 고도화된 랜섬웨어와 표적 공격이 빈번해지는 상황에서, 보안 투자는 매출 규모와 동일하게 성장해야 한다고 강조한다. 정보보호 공시제도를 활용해 기업별 보안 수준을 시장이 평가하도록 하고, 이사회 차원의 보안 감독 의무를 강화하는 방안도 필요하다는 의견이 나온다. 당국은 향후 공시제도 개선과 점검 강화를 통해 대형 정보통신서비스 기업의 보안 투자 확대를 유도하겠다는 방침을 거듭 밝히고 있다.

윤선우 기자
share-band
밴드
URL복사
#넷마블#엔씨소프트#넥슨코리아