“611만명 털렸다”… 넷마블 PC게임 해킹, 보안 강화 외쳤지만 뚫렸다

넷마블이 운영 중인 PC게임 사이트가 외부 해킹 공격을 받아, 최소 611만 명의 이용자 정보가 유출된 것으로 드러났다. 수년간 보안 체계를 정비해왔다던 넷마블이 실질적인 해킹 피해를 입으면서, 기술 중심의 보안 강화 노력과 실제 내부 대응 사이의 간극이 주목받고 있다.

PC방·임직원 정보까지 유출… 휴면 계정도 포함

이번 해킹으로 이름, 생년월일, 암호화된 비밀번호 등 회원 정보가 유출됐다. 주민등록번호 같은 민감 정보는 포함되지 않았다고 밝혔지만, 과거에 만들어졌던 휴면 ID와 암호화된 비밀번호 3100만 건도 함께 유출된 것으로 확인됐다. 이들 ID는 한 사람이 최대 5개까지 중복 생성할 수 있는 구조였던 것으로 보인다.

또한 2015년 이전의 PC방 가맹점 정보 약 6만 6천 건과 함께, 전·현직 임직원의 이름, 생년월일, 사내 이메일 주소 약 1만 7천 건도 유출 대상에 포함됐다.

넷마블은 “피해 규모를 투명하게 공개하고 있다”며 “고객 피해 최소화와 재발 방지를 위해 시스템 전반을 점검하고 있다”고 밝혔다.

24시간 내 신고 규정? 넷마블, ‘사흘 뒤’에야 관계기관에 알렸다

공식 신고 시점도 논란이다. 더불어민주당 이정헌 의원실이 확보한 자료에 따르면 넷마블은 해킹을 인지한 지 약 72시간 뒤인 25일 저녁에서야 한국인터넷진흥원(KISA)에 처음 신고했다. 법정 기준은 ‘침해 정황 인지 후 24시간 이내 신고’, 개인정보 유출의 경우 ’72시간 이내 신고’다.

넷마블은 주말을 이유로 즉시 신고가 현실적으로 어려웠다고 해명했지만, 사이버 보안 분야에선 초동 대응의 골든타임을 놓쳤다는 지적이 나온다.

“AI 보안 솔루션 쓴다면서…” 기술 투자와 현실 사이의 괴리

넷마블은 2020년부터 정보보안 교육, 웹 방화벽, 모의 해킹 훈련, 클라우드 보안 강화 등 다양한 보안 체계를 구축해왔다고 밝혀왔다. ESG 보고서에도 24시간 관제 체계와 보안 전담 조직 운영 사실을 강조한 바 있다.

하지만 이번 사태는 이 같은 시스템이 실효성 있는 방어망으로 작동하지 못했음을 보여주는 방증이 됐다. 외부 보안 솔루션 기업과의 협업 여부를 두고도 혼선이 있었다. 한 보안 솔루션 A사에는 넷마블이 고객사로 표기돼 있었지만, 넷마블 측은 해당 업체와 “협업 이력이 없다”고 선을 그었다.

보안 사고 줄줄이… 업계 전반의 ‘AI 보안’ 신뢰 흔들

넷마블 외에도 쿠팡, SK텔레콤, 예스24 등 국내 주요 기업들의 해킹 피해가 연이어 발생하면서 AI 보안 기술에 대한 신뢰도에 금이 가고 있다. 특히 SKT는 유심 서버 유출 사건과 관련해 개인정보보호위원회로부터 배상 조정까지 통보받은 상황이다.

AI 기반 보안 솔루션이 다변화되고 있음에도, 실제로는 내부 시스템의 연동 방식이나 취약점 노출 구조가 외부에서는 거의 검증되지 않아 ‘깜깜이 보안’이라는 지적도 피하기 어렵다.

소비자 불안만 커진다… 진짜 문제는 ‘신속 대응 체계’ 부재

보안 강화에 수백억을 투자하고도 개인정보 유출 사고가 반복되고 있다는 점은, 기술 수준보다도 내부 대응 체계의 부실함과 리스크 인지·공유 과정의 미흡함을 보여준다. 실제 해킹 여부를 기업 내부에서만 판단하고, 외부 신고까지 수일이 걸리는 구조가 소비자 신뢰를 흔들고 있다.

이번 사건은 단순한 해킹 사고를 넘어, 게임 업계 전반의 내부 보안 체계와 윤리 의식 부재를 다시 한 번 드러냈다. 전문가들은 “AI 기반 보안 기술을 도입하는 것도 중요하지만, 침해 발생 시 즉각적인 보고, 고객 통지, 피해 확산 방지 프로토콜이 훨씬 중요하다”고 지적한다.