[서울타임즈뉴스 = 허성미 기자] 넷마블이 홈페이지 해킹으로 고객·가맹사·임직원 개인정보가 유출된 사실을 인지하고도 72시가량 지난 뒤 관계기관에 신고한 것으로 나타났다. 이에 대해 넷마블은 고의 지연은 없었다는 입장이다.

27일 연합뉴스에 따르면 더불어민주당 이정헌 의원실이 한국인터넷진흥원(KISA)에서 받은 자료에 따르면 넷마블의 첫 신고는 25일 오후 8시 40분이었다. 넷마블이 침해사고를 처음 인지한 시점은 22일 오후 8시 56분이다. 이는 정보통신망법 시행령이 규정한 ‘24시간 내 신고’ 기준을 넘긴 셈이다.

이에 대해 넷마블은 “침해 정황 인지 후 24시간 내 신고, 개인정보 유출 신고는 72시간 내 제출이 원칙”이라며 “주말에 발견돼 실제 접수 시간이 늦어진 것이며 고의 지연은 없었다”고 해명했다.

넷마블은 “이용자 보호조치를 우선하며 법정 기준에 맞춰 절차를 완료했다”고 강조했다. 이번 사고는 넷마블 홈페이지에서 SQL 쿼리 실행이 가능한 파라미터가 존재하는 보안 취약점에서 비롯됐다. SQL은 데이터베이스(DB) 접근 명령어로, 취약점이 악용될 경우 내부 DB의 정보가 탈취될 수 있다.

앞서 넷마블은 22일 외부 해킹 정황을 확인했고, 바둑·장기·마구마구·사천성 등 PC 기반 18개 게임에서 고객 이름, 생년월일, 암호화된 비밀번호가 유출됐다고 밝혔다. 가맹 PC방 사업주 정보와 전·현직 임직원의 이메일·전화번호 등도 포함됐지만 주민등록번호 등 민감정보는 유출되지 않았다고 설명했다. 모바일 게임과 넷마블 런처 기반 게임은 유출 범위에서 제외됐다.

이정헌 의원은 “통신·커머스 기업에 이어 대형 게임사까지 해킹되며 국가 전반의 보안 체계 부실이 적나라하게 드러났다”며 “온라인 게임은 금융 결제와도 밀접해 피해가 더 클 수 있다”고 지적했다.

이 의원은 이어 “사후 대응 중심의 구조로는 반복되는 대규모 유출을 막을 수 없다”며 “국가적 차원의 선제적·구조적 보안 개편이 시급하다”고 강조했다. 한편 넷마블은 현재 KISA와 함께 유출 범위와 원인을 조사하고 있다. 또 이용자 비밀번호 초기화와 접속 차단 등 후속 조치도 병행하고 있다.