넷마블, 해킹 인지하고도 신고 지연…민감정보 언급 해명도 논란

넷마블 침해사고 신고서ⓒ최민희 의원실

넷마블이 외부 해킹을 인지하고도 침해사고 신고에 사흘이 걸린 것으로 드러났다.

국회 과학기술정보방송통신위원회 위원장인 최민희 의원이 27일 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 넷마블은 11월 22일 오후 8시 56분 넷마블 내부 시스템 침해사고를 인지했다.

그러나 사흘 뒤인 11월 25일 오후 8시 40분이 돼서야 신고가 이뤄졌다. 신고서에는 '외부에 공개된 자산에서 SQL 쿼리 실행이 가능한 파라미터가 존재한다'는 내용이 담겼으며, 이는 침해사고가 발생한 것으로 판단되는 정황이다.

정보통신망법 시행령 제 58조의 2에 따르면, 침해사고 발생을 알게 된 때부터 24시간 이내에 정부기관에 신고해야한다.

하지만 넷마블은 22일 이를 인지하고도 25일에서야 신고했다. 침해사고 신고를 사흘간 지체한 것으로 3000만원 이하 과태료 부과 대상이다.

이에 대해 넷마블은 “이번 사안은 토요일에 이상 징후를 인지한만큼 24시간 내 신고를 진행하더라도 실제 접수는 일요일에 이뤄질 수 밖에 없는 상황”이라며 “회사는 이용자 보호조치를 우선 수행한 뒤, 법정 기준에 따라 72시간 내 유출 신고 절차를 완료하는데 집중했다”고 해명했다 .

KISA 개인정보침해 신고센터 신고 접수 업무는 365일 24시간 운영된다. KISA 관계자 또한 “토요일에 신고 접수를 한다면 당일에 접수된다”면서 “넷마블이 잘못 알고 있는 것 같다”고 밝혔다. 현재 KISA는 넷마블이 접수한 신고서를 바탕으로 침해사고 경위를 조사 중에 있다.

지난 26일 넷마블은 공개사과문을 통해 “등록번호 등 고유 식별정보나 민감정보 유출은 없었다”면서 게임 이용자와 피시방 가맹점주, 전현직 임직원 개인정보가 유출됐고 관련 정보에 이름, 이메일주소, 생년월일, 전화번호 등이 포함됐다고 밝혔다.

의원실은 개인정보보호법상 민감정보를 게임회사가 수집해 보관할 이유는 없으므로 유출될 가능성 자체가 없어야 한다고 강조했다. 넷마블 또한 민감정보는 수집하지 않는다고 밝혔다.

이에 대해 의원실이 “수집하지도 않는 민감정보를 유출되지 않았다고 언급한 이유가 무엇이냐”고 묻자, 넷마블은 “혹시 모를 고객님들의 걱정이 있으실까봐해서 말씀을 드린 부분”이라고 답했다.

최민희 과방위원장은 “기업이 침해사고 발생 사실을 축소하거나 모호하게 해명하는 것은 이용자 보호에 전혀 도움이 되지 않는다”며 “넷마블과 같은 대기업 사업자는 단순히 법정 신고 의무를 충족하는 수준을 넘어 발생 과정·유출 범위·조치 현황을 신속하고 투명하게 공개하는 것이 사회적 책임이자 국민적 신뢰의 출발점임을 명심해야 한다”고 말했다.

이어 “넷마블의 이번 대응을 보면 침해사고와 관련된 제도를 제대로 숙지하지도 못하면서 변명과 피해축소로 일관하려 한다” 며 “넷마블은 관련 조사에 철저히 임하고, 모든 것을 투명하게 밝혀야 할 것” 이라고 지적했다.