넷마블 PC포털 해킹에 정보 유출…게임보안 신뢰에 타격

게임 산업의 대규모 온라인 플랫폼이 다시 한번 해킹 위협에 노출됐다. 넷마블이 운영하는 PC 게임 포털에서 외부 침입에 따른 정보 유출 정황이 확인되면서, 국내 게임사 전반의 사이버보안 체계와 개인정보 보호 수준에 대한 우려가 커지고 있다. 업계에서는 대형 게임사가 구축해 온 계정·과금 인프라가 공격 표적이 되는 가운데, 이번 사고가 향후 게임 계정 보안과 인증 체계 고도화 경쟁의 분기점이 될 수 있다는 관측도 제기된다.

넷마블은 26일 자사 공식 홈페이지와 각 PC 게임 사이트를 통해 22일 발생한 해킹 공격으로 고객 및 일부 임직원 정보가 유출된 정황을 확인했다고 밝혔다. 회사는 침해사고 사실을 인지한 뒤 25일 오후 한국인터넷진흥원과 개인정보보호위원회에 관련 내용을 신고했으며, 법령상 통지 의무에 따라 이용자 대상 공지와 사과문도 게재했다. 현재 유출 원인과 규모, 공격 경로는 내부 조사와 관계기관 합동 분석을 통해 확인 작업이 진행 중이다.

지금까지 회사가 파악한 유출 대상은 크게 세 부류다. 우선 넷마블 PC 게임 사이트 이용자의 계정 정보가 포함됐다. 이름과 생년월일, 암호화된 형태의 비밀번호 등이 이에 해당한다. 두 번째는 일부 전현직 임직원의 회사 이메일 주소와 전화번호 등 연락처 정보다. 마지막으로 2015년 이전 넷마블 가맹 PC방 사업주의 이름과 이메일 주소 정보가 노출된 것으로 추정된다. 회사 측은 주민등록번호와 같은 고유식별정보, 건강정보에 해당하는 민감정보 등은 저장 구조와 분리 관리 정책 등에 따라 유출 범위에서 제외된 것으로 보고 있다.

기술적 측면에서 넷마블은 유출된 로그인 비밀번호가 암호화된 상태이며, 해당 값만으로는 즉시 계정 탈취 등 악용이 어렵다고 설명했다. 일반적으로 대형 온라인 게임사는 단방향 암호화 알고리즘과 솔트 값 등을 활용해 비밀번호를 저장한다. 해커 입장에서는 암호화 결과값을 입수해도 이를 다시 평문으로 복원해야 실제 로그인에 사용할 수 있어 상당한 연산 자원이 필요하다. 다만 넷마블은 암호화 강도나 알고리즘 종류는 공개하지 않고 있으며, 장기간에 걸친 무차별 대입 공격을 통해 일부 계정이 추출될 가능성을 배제하지 못하는 만큼 선제적 비밀번호 변경을 권고하고 있다.

이번 공격은 단순 계정 탈취를 넘어 기업 내부 시스템까지 엮인 복합 침해로 보인다. 고객 계정 정보 외에 임직원 이메일과 연락처, 과거 가맹점주 정보가 함께 노출된 점을 감안하면, 해커가 특정 서버나 데이터베이스 구간에 대한 접근 권한을 확보했을 가능성이 크다. 업계 관계자들은 사내 계정과 외부 고객 계정이 동일한 인증 인프라나 연계 시스템 상에 얹혀 있을 경우, 단일 취약점이 여러 데이터셋으로 확산되는 전형적인 패턴이라고 분석한다. 특히 PC방 가맹 정보는 오래된 레거시 시스템에 보관돼 상대적으로 점검 우선순위에서 밀리는 경우가 많아, 보안 사각지대였을 가능성이 제기된다.

시장 측면에서 이번 사고는 게임 계정 보안에 대한 이용자 불안 심리를 자극할 수 있다. 넷마블 PC 포털에서는 18종의 게임이 서비스되고 있어, 계정 하나가 다수 게임과 과금 정보, 아이템 자산에 연동된다. 계정 탈취 시 게임 아이템 피해를 넘어, 동일 이메일·비밀번호 조합을 사용하는 다른 서비스의 2차 피해로 번질 수 있다는 점에서, 실제 유출 정보 범위가 제한적이더라도 이용자 체감 리스크는 상당하다는 평가가 나온다. 넷마블이 즉각 비밀번호 변경을 권고한 것도 이러한 연쇄 피해를 최소화하기 위한 조처로 해석된다.

글로벌 게임 시장에서는 이미 사이버 공격 고도화에 맞춰 다중 인증과 계정 보호 기능이 표준으로 자리 잡는 추세다. 북미와 유럽의 대형 게임사는 계정 접근 시 일회용 인증번호, 전용 인증 앱, 하드웨어 기반 토큰 등을 도입해 계정 탈취 난도를 높이고 있다. 비밀번호 정보가 일부 노출되더라도, 추가 인증 절차를 통해 실제 접속은 차단하는 구조다. 국내에서도 일부 대형 게임사가 부분적으로 도입했으나, PC방 문화와 빠른 접속 편의성에 익숙한 사용자 환경 탓에 강제 도입에는 신중한 분위기였다. 이번 사고를 계기로 넷마블을 비롯한 국내 게임사가 어느 수준까지 보안 편의성과 사용자 경험 사이의 균형을 조정할지 주목된다.

국내 규제·제도 환경에서는 게임사 역시 일반 정보통신서비스 제공자로 분류돼 강력한 개인정보 보호 의무를 지고 있다. 넷마블이 침해사고를 인지한 뒤 한국인터넷진흥원과 개인정보보호위원회에 신속히 신고한 것은 현행 법령에 따른 조치다. 관계기관은 사고 원인과 관리적·기술적 보호조치 이행 여부를 점검하고, 과실 여부가 드러날 경우 과징금이나 시정 명령 등 행정처분을 검토하게 된다. 특히 반복적인 사고나 시스템 구조상 중대한 허점이 확인될 경우, 향후 클라우드 전환, 중요정보 암호화 범위 확대, 장기 미사용 데이터 삭제 정책 강화 등 구조적 개선 요구가 뒤따를 수 있다.

게임 산업 특성상 실시간 서비스 중단 부담이 커, 대규모 보안 점검과 구조 개편이 쉽지 않다는 한계도 거론된다. 일부 보안 전문가는 이용자 접속이 분산되는 심야 시간대에만 부분 점검을 반복하는 현재 방식으로는 레거시 시스템과 방대한 계정 인프라 전반의 보안성을 담보하기 어렵다고 지적한다. 더불어 장기간 사용되지 않은 계정과 과거 사업 데이터에 대한 주기적 파기 정책이 정교하게 작동하지 않을 경우, 공격자는 오래된 데이터를 집중 공략해 상대적으로 취약한 지점을 뚫을 여지가 남게 된다.

넷마블은 공식 입장을 통해 고객 보호를 최우선 가치로 삼아 추가 침입 가능성에 대비한 전사적 시스템 점검과 재발 방지 대책 수립에 나서겠다고 밝혔다. 또한 관계기관 조사 결과가 나오는 대로 유출 규모와 영향을 투명하게 공개하겠다는 방침도 내놨다. 정보보호 업계에서는 이번 사고가 단일 기업의 이슈를 넘어, 온라인 게임 산업 전반의 개인정보 보호 체계와 인증 기술 수준을 재정비하는 계기가 될 수 있다고 보고 있다. 산업계는 이번 침해사고가 실제 시장 신뢰 회복 단계까지 이어질 수 있을지, 그리고 보안 투자 확대가 게임 서비스 생태계에 어떤 구조적 변화를 가져올지 예의주시하고 있다.