[소셜밸류=한시은 기자] 넷마블이 최근 해킹으로 고객과 가맹, 임직원 개인정보가 유출된 사실을 인지하고도 관계 당국 신고 의무 기한을 넘긴 정황이 확인됐다.

27일 더불어민주당 이정헌 의원실이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, 넷마블이 해킹 피해 사실을 처음 인지한 시점은 지난 22일 오후 8시56분이다. 그러나 KISA에 실제 신고한 것은 25일 오후 8시40분으로 약 72시간 뒤다. 현행 정보통신망법 시행령은 침해사고 발견 시점부터 24시간 이내 신고를 규정하고 있다.

넷마블은 신고 지연 지적에 대해 “침해 정황 인지 시점 24시간 이내 신고 의무와 개인정보 유출 신고 기준(72시간)이 다르다”며 “이용자 보호조치를 우선한 뒤 법정 기준에 따라 절차를 마쳤다”고 해명했다.

넷마블은 현재까지 확인된 PC 게임 포털 회원 개인정보 유출 규모가 총 611만여명이라고 밝혔다. 유출된 개인정보에는 이름, 생년월일, 암호화된 비밀번호 정보가 포함되고, 주민등록번호와 금융정보 등 고유식별·민감정보는 없는 것으로 파악됐다.

또 과거 휴면 처리된 PC 사이트 ID 약 3100만 건도 유출된 것으로 추정된다. 이는 이름·생년월일 등이 이미 삭제돼 개인을 특정할 수 없는 정보라고 넷마블 측은 설명했다. 이외에도 2015년 이전 PC방 가맹점 6만6000여곳의 사업주 정보와 전·현직 임직원 약 1만7000여건의 회사 이메일·연락처 등이 유출된 것으로 잠정 집계됐다.

해킹 방식은 공개된 홈페이지 자산 중 SQL 쿼리 실행이 가능한 파라미터가 존재해 DB 접근이 가능했던 보안 취약점 때문으로 알려졌다. 유출 피해가 확인된 게임은 바둑, 장기, 마구마구, 사천성, 야채부락리 등 넷마블 PC 사이트를 통해 서비스되는 18종으로, 모바일 게임 및 넷마블 런처로 실행하는 게임은 해당하지 않는다.

넷마블은 “개인정보가 유출된 점에 대해 진심으로 사과드린다”며 “관계기관 조사에 성실히 임하고, 시스템 전반 점검과 재발 방지에 만전을 기하겠다”고 말했다.

[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]