CloudPNG

ºC

logo
IT/바이오

넷마블 대규모 해킹 여파…보안 리스크에 투자자 긴장

박선호 기자
입력

온라인 게임 산업이 다시 한번 보안 리스크에 직면했다. 넷마블 PC 게임 포털에서 611만명 규모의 고객과 일부 임직원 정보가 유출된 사실이 확인되면서 투자자들의 경계심이 높아지고 있다. 다만 유출 정보에 주민등록번호 등 고유식별정보와 건강정보 같은 민감정보는 포함되지 않은 것으로 파악돼, 단기 주가 충격은 제한적이라는 분석이 나온다. 업계에서는 이번 사건을 계기로 게임 기업 전반의 보안 투자와 데이터 관리 체계 강화 요구가 거세질 수 있다고 보고 있다.

 

28일 한국거래소에 따르면 넷마블 주가는 오전 9시 2분 기준 전 거래일보다 0.38퍼센트 내린 5만 3000원에 거래됐다. 611만명분 개인정보 유출 사실이 공개된 이후 첫 거래일 장 초반 주가 반응으로, 수치상으로는 소폭 조정 수준이다. 시장에서는 사고 규모를 감안할 때 투자자들이 당장의 재무적 충격보다 중장기 보안 리스크와 평판 리스크를 저울질하는 분위기로 해석하고 있다.

넷마블은 지난 22일 발생한 PC 포털 사이트 해킹 공격에 대한 자체 조사 결과를 27일 공개했다. 조사 결과 바둑, 장기 등 클래식 PC 게임을 제공하는 포털 회원 가운데 휴면 계정을 포함한 약 611만명의 정보가 외부에 유출된 것으로 확인됐다. 해당 정보에는 이름과 생년월일, 암호화된 비밀번호 등이 포함돼 있다. 넷마블은 주민등록번호, 계좌번호, 결제정보, 건강정보 등 법적 의미의 고유식별정보나 민감정보는 저장하지 않고 있었으며, 이번 해킹으로도 그러한 정보는 유출되지 않았다고 설명했다.

 

유출 데이터의 범위는 단순 개인정보를 넘어 계정 체계 전반을 건드린 것으로 분석된다. 회사에 따르면 이미 이름과 생년월일 등 일부 정보는 삭제돼 개인을 직접 식별하기는 어려운 상태였지만, 휴면 처리된 아이디와 암호화된 비밀번호 약 3100만개가 추가로 유출된 것으로 파악됐다. 비밀번호는 보통 일방향 암호 알고리즘으로 저장되지만, 공격자가 대규모 연산 장비와 사전 대입 공격을 활용할 경우 일부 계정이 역추적될 가능성을 배제하기 어렵다.

 

특히 국내 게임 이용자들이 여러 플랫폼에서 동일하거나 유사한 아이디, 비밀번호 조합을 재사용하는 관행이 남아 있는 만큼, 2차 피해 우려도 제기된다. 계정 탈취를 활용한 피싱, 스팸 발송, 다른 서비스 로그인 시도 등으로 이어질 수 있어서다. 정보보호 전문가들은 비밀번호가 암호화돼 있다 해도 이번 규모의 유출은 중요 계정의 비밀번호 변경과 다중인증 도입 같은 선제 조치가 필요하다고 조언한다.

 

이번 사건은 게임 산업에서의 사이버 공격 양상이 여전히 포털, 웹서비스 계층을 노리는 전통적 해킹 방식에 집중돼 있음을 다시 드러냈다. 글로벌에서는 대형 게임 플랫폼을 겨냥한 데이터 탈취, 랜섬웨어 공격이 반복되면서 게임 계정 정보가 암시장에서 거래되는 구조가 고착되고 있다. 과거 해외 대형 게임사에서도 수천만 계정의 이메일, 닉네임, 암호화된 비밀번호가 유출된 뒤 수년에 걸쳐 도용 시도가 관측된 사례가 보고된 바 있다.

 

국내 규제 측면에서 넷마블은 정보통신망법과 개인정보보호법에 따라 관계 기관에 사건을 신고하고 이용자 통지, 피해 최소화 조치를 진행해야 한다. 대규모 유출로 판단될 경우 감독 당국의 현장 점검과 과징금, 과태료 부과 가능성도 거론된다. 유사 사건에서는 보안조치 의무 위반 정도에 따라 수십억 원대 과징금이 부과된 사례가 있어, 넷마블 역시 향후 조사 결과에 따라 재무적 부담이 발생할 수 있다.

 

회사 측은 직접적인 사과와 함께 후속 대책을 약속했다. 넷마블 관계자는 해킹으로 인한 개인정보 유출에 유감을 표하며, 시스템 전반 확대 점검과 재발 방지 대책 수립에 역량을 집중하겠다고 밝혔다. 업계에서는 침해 사고 이후 취약점 분석, 인증 체계 고도화, 암호화 강도 상향, 접근 통제 재설계 등 보안 아키텍처 전반에 대한 투자가 뒤따를 것으로 본다.

 

다만 투자자 관점에서는 보안 투자 확대가 단기적으로 비용 요인이지만, 중장기적으로는 브랜드 신뢰와 글로벌 서비스 확장에 필수 인프라라는 평가도 있다. 글로벌 퍼블리셔와 클라우드 기반 게임 서비스에서는 개인정보 보호와 보안 인증 수준이 입찰 및 파트너십 선정의 핵심 조건으로 작동하는 흐름이 강화되고 있기 때문이다.

 

게임 산업 전반으로 시야를 넓히면, 개인정보와 계정 보안은 더 이상 단일 회사의 내부 관리 이슈에 머물기 어려워졌다. 대규모 온라인 트래픽과 결제 정보가 집중된 게임 서버가 공격자에게 높은 경제적 가치를 제공하면서, 산업 전체를 노린 지속적 위협이 상수가 되고 있다. 산업계는 이번 넷마블 사례가 실제 제재와 추가 사고로 이어질지, 그리고 이를 계기로 전반적인 보안 수준 상향과 규제 가이드라인 정비가 속도를 낼 수 있을지 주시하고 있다.

박선호 기자
share-band
밴드
URL복사
#넷마블#해킹#개인정보유출