CloudPNG

ºC

logo
IT/바이오

넷마블 개인정보 추가 유출…주민번호까지 뚫렸다

한채린 기자
입력

게임과 엔터테인먼트 플랫폼을 운영하는 넷마블이 최근 발생한 외부 해킹 사고 후 재조사 과정에서 주민등록번호가 포함된 추가 개인정보 유출 사실을 확인했다. 기존에 공개한 611만여 명 규모의 대규모 유출에 더해, 과거 고객센터 문의 기록과 입사지원 정보, 채용박람회 및 기업 간 거래 제안 자료까지 광범위한 영역에서 민감 정보가 새나간 것으로 드러나면서 국내 게임 산업 전반의 보안 관리와 개인정보 거버넌스에 제동이 걸리는 분위기다. 업계에서는 대형 온라인 서비스 기업들의 레거시 시스템 관리와 구 데이터 폐기 정책이 클라우드 전환과 함께 재설계돼야 할 분기점으로 보는 시각도 나온다.

 

넷마블은 3일 자사 홈페이지 공지사항을 통해 최근 해킹 사고와 관련한 내부 정밀 조사를 추가로 진행한 결과 8048건의 개인정보 유출이 더 확인됐다고 밝혔다. 추가 피해에는 이름과 이메일을 넘어 주민등록번호 같은 고위험 식별 정보까지 포함된 것으로 파악됐다. 지난달 27일 1차 자체 조사에서 게임 포털 시스템 해킹으로 고객과 임직원 611만여 명의 정보가 유출됐다고 공개할 당시에는 주민등록번호 등 민감 정보는 포함되지 않은 것으로 설명했지만, 재조사 결과 과거에 축적된 별도 데이터 영역에서 추가 유출 사실이 드러난 셈이다.

세부 내용을 보면 2003년부터 2004년까지 넷마블 고객센터를 통해 문의를 남긴 이용자의 이름, 이메일, 상담자 확인 내용이 3185건 유출됐고, 이 중 주민등록번호가 포함된 사례도 314건 확인됐다. 또 2003년부터 2006년 사이 온라인 입사지원 시스템을 통해 접수된 지원자의 이름, 이메일, 입사지원서 기재 내용 2022건도 유출 대상이며, 이 가운데 주민등록번호 유출 건수는 990건으로 파악됐다. 채용과 고객상담 과정에서 수집된 구 데이터가 장기간 보관되며 취약 구간으로 남아 있었을 가능성이 제기된다.

 

채용과 직접 관련되지 않는 대외 접점 데이터도 공격 범위 안에 들어간 것으로 보인다. 넷마블은 채용박람회 부스를 방문한 인원의 전화번호 등 정보 966건이 유출됐다고 설명했다. 기업 간 거래를 위한 사업 제안 데이터베이스 역시 뚫렸다. B2B 사업 제안 담당자의 전화번호와 사업제안서에 기재된 내용 등 1875건이 추가 피해 목록에 포함됐다. 통상 B2B 제안서에는 담당자의 직책, 이메일, 회사명과 함께 구체적 프로젝트 내용이 적히기 때문에, 경쟁사 정보 유출이나 사회공학 기반 2차 공격에 활용될 소지도 존재한다는 평가가 나온다.

 

이번 사건에서 드러난 취약점은 단순한 계정 유출 차원을 넘어선다. 고객과 지원자, 외부 파트너 정보를 장기간 축적해온 기업 내부 데이터베이스 전반이 공격 표면이 됐다는 점에서, 향후 IT 서비스 업계 보안 전략에도 영향을 줄 수 있다. 익명을 요청한 한 보안 업계 관계자는 대규모 서비스 기업의 경우 생산 시스템뿐 아니라 과거 이벤트, 채용, 상담 이력 데이터베이스가 별도로 산재해 있는 경우가 많다며 해커 입장에서는 오래된 시스템일수록 패치가 늦고 접근 통제가 허술해 우회 경로로 삼기 쉽다고 지적했다.

 

개인정보 관점에서 보면 고유식별정보인 주민등록번호가 포함된 점이 특히 문제로 꼽힌다. 한국 개인정보보호법은 주민등록번호를 엄격한 암호화와 접근 통제 아래 처리하도록 규정하고 있으며, 수집 목적이 달성된 이후에는 지체 없이 파기하도록 요구한다. 이번에 유출된 정보 상당수가 2000년대 초반에 수집된 기록이라는 점에서, 장기 보유와 파기 정책이 적절했는지에 대한 규제 당국의 조사도 뒤따를 가능성이 있다. 게임 계정과 별도 경로로 축적된 고객센터와 채용, 오프라인 행사 데이터에 대한 암호화 수준 역시 핵심 점검 대상이다.

 

글로벌 디지털 서비스 시장에서는 이미 데이터 최소 수집과 자동 파기, 분산 보관을 통한 공격 표면 축소가 보안 전략의 핵심 축으로 자리 잡았다. 미국과 유럽의 주요 플랫폼 기업들은 구 시스템과 백업 데이터를 통합 관리하고, 고위험 정보는 토큰화나 비식별화 방식으로 전환하는 흐름을 강화하는 추세다. 한국에서도 대형 포털과 게임사, 모바일 플랫폼 기업들이 연이어 침해 사고를 겪으면서, 클라우드 기반 통합 보안 아키텍처와 데이터 라이프사이클 관리 체계 정비 요구가 커지고 있다.

 

넷마블은 공식 입장을 통해 고객 정보 보호에 실패한 데 대해 재차 사과했다. 회사 측 관계자는 고객의 소중한 정보를 보다 철저하게 보호하지 못한 점을 거듭 사과한다며, 사고 원인 규명을 위해 관계기관 조사에 성실히 임하고 재발 방지를 위해 전사적 보안 강화에 총력을 다하겠다고 밝혔다. 구체적인 기술적 조치와 조직 개편 방향은 추가 조사 결과에 따라 순차적으로 공개될 전망이다.

 

업계에서는 이번 사건이 게임 산업뿐 아니라 전통 IT 기업 전반에 과거 데이터와 레거시 시스템 점검을 압박하는 계기가 될 것으로 본다. 보안 전문가들은 대규모 해킹 사고 이후에는 기술적 보완뿐 아니라 데이터 수집 범위 축소, 보관 기간 단축, 파기 자동화 등 거버넌스 수준의 구조 개편이 병행돼야 한다고 강조한다. 산업계는 넷마블의 후속 조치와 규제 당국의 대응을 지켜보며, 공격이 일상화된 환경에서 개인정보 보호와 서비스 편의성의 균형을 어떻게 재설계할지 고민을 깊게 할 수밖에 없는 상황이다.

한채린 기자
share-band
밴드
URL복사
#넷마블#개인정보유출#주민등록번호