넷마블이 홈페이지 해킹으로 고객 및 가맹사·임직원 개인정보가 유출된 가운데 침해사고를 인지하고도 사흘 가까이 관계 당국에 알리지 않은 것으로 나타났다.
이정헌 더불어민주당 의원실이 27일 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 넷마블이 처음 해킹 피해를 신고한 시각은 지난 25일 오후 8시 40분으로 나타났다. 넷마블은 지난 26일 입장문을 통해 “관계기관에 침해사고 발생 사실을 즉시 신고하고 유출 원인과 규모를 조사하고 있다”라고 밝혔다.
그러나 넷마블이 KISA에 제출한 신고서에 따르면, 넷마블이 처음으로 침해사고를 인지한 시점은 22일 오후 8시 56분이다. 실제 신고는 약 72시간 만에 이뤄진 것이다. 현행 정보통신망법 시행령에 따르면, 정보통신서비스 제공자는 침해사고 발생을 알게 된 때부터 24시간 이내에 과학기술정보통신부장관 또는 KISA에 신고하게 되어 있다.
넷마블은 “해킹 사고의 법정 신고 기준은 '침해 정황 인지 시점 24시간 이내'이며, 개인정보 유출 사실에 대한 신고는 72시간 이내”라며 “토요일에 이상 징후를 인지한 만큼, 24시간 내 신고를 진행하더라도 실제 접수는 일요일에 이뤄질 수밖에 없었다”고 해명했다.
그러면서 “이용자 보호조치를 우선 수행한 뒤, 법정 기준에 따라 72시간 이내 유출 신고 절차를 완료하는 데 집중했다”며 “고의적 지연이나 축소 행위는 전혀 없었고, '즉시 대응'은 단순한 시간상의 신속함이 아니라 이용자 피해 최소화를 위한 실질적 보호조치 중심의 대응이었다”고 덧붙였다.
넷마블은 사고 내용을 '외부에 공개된 자산에서 SQL(데이터베이스 명령어) 쿼리가 가능한 파라미터 존재'라고 기재했다. SQL은 방대한 양의 정보가 담긴 데이터베이스(DB)를 관리할 때 쓰이는 언어로, DB에 있는 데이터를 탐색해 처리하는 명령어를 쿼리라고 부른다. 홈페이지를 통해 DB에 접근해 내부 정보를 탈취하는 보안 허점이 발견됐다는 취지로 해석된다.
앞서 넷마블은 전날 홈페이지를 통해 “이달 22일 외부 해킹으로 고객정보 유출 정황을 확인하고 대응 중”이라고 밝혔다. 넷마블에 따르면 유출이 발생한 게임은 바둑, 장기, 마구마구, 사천성, 야채부락리 등 넷마블 PC 사이트를 통해 서비스되는 18종으로, 모바일 게임 및 넷마블 런처로 실행하는 게임은 해당하지 않는다. 유출된 정보는 △PC 게임 사이트 고객 이름·생년월일·암호화된 비밀번호 △가맹 PC방 사업주 이름·이메일 주소 △전현직 사원 이름과 회사 이메일·전화번호 등이다. 주민등록번호와 같은 민감정보는 포함되지 않았다는 것이 넷마블의 설명이다.
이정헌 더불어민주당 의원은 “통신, 커머스 기업에 이어 국내 거대 게임사까지 해킹되면서 우리 사회 전반의 보안 체계의 부실함이 또 드러났다”며 “특히 온라인 게임 특성상 금융 결제와 직결되는 민감 정보가 노출될 수 있기에 매우 심각한 사안”이라고 지적했다. 이어 “특정 산업, 기업을 넘어 범국가적 사이버 보안 체계를 근본적으로 재정비할 때”라며 “이제 정부와 기업 모두가 '사후 대응'이 아닌 선제적·구조적 보안 강화로 전환해야 한다”고 말했다.
![[AI의 종목 이야기] 아사히, 랜섬웨어 여파로 결산 50일 이상 지연](https://img.newspim.com/etc/portfolio/pc_portfolio.jpg)
