넷마블, 해킹 인지 3일 후 신고 논란…"고의 지연·축소 아냐"

[아이뉴스24 박정민 기자] 넷마블 PC 사이트에서 지난 22일 해킹 피해가 발생한 가운데, 넷마블이 사고 인지 후 사흘이 지나 신고한 것으로 밝혀져 논란이 되고 있다. 넷마블은 주말 상황을 고려한 조치였다며 "고의 지연이나 축소 행위는 아니다"라고 해명했다.

27일 이정헌 더불어민주당 의원실이 한국인터넷진흥원(KISA)로부터 받은 자료에 따르면 넷마블은 지난 25일 오후 8시 40분 KISA에 해킹 사실을 신고했다. 문제는 시점으로, 넷마블이 최초로 사고를 인지한 지난 22일 오후 8시 56분에서 약 72시간 만에 신고가 이뤄졌다.

현행 정보통신망법 시행령에 따르면 정보통신서비스 제공자는 침해사고 발생 24시간 이내에 과학기술정보통신부 또는 KISA에 신고해야 한다. 넷마블은 이와 관련해 "해킹 사고의 법정 신고 기준은 침해 정황 인지 시점 24시간 이내이며, 개인정보 유출 사실에 대한 신고는 72시간 이내"라며 "토요일(22일)에 이상 징후를 인지한 만큼, 24시간 내 신고를 진행했더라도 접수는 일요일에 이뤄질 수밖에 없었다"고 설명했다.

이어 "이용자 보호조치를 우선 수행한 뒤, 법정 기준에 따라 72시간 이내 유출 신고 절차를 완료하는 데 집중했다"며 "고의적 지연·축소 행위는 전혀 없었다. 이용자 피해 최소화를 위한 실질적 보호조치를 중심으로 대응했다"고 덧붙였다.

이후 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실은 KISA 개인정보침해 신고센터 신고 접수 업무는 365일 24시간 운영된다며 넷마블의 실책을 지적했다. 최민희 위원장은 "기업이 침해사고 발생 사실을 축소하거나 모호하게 해명하는 것은 이용자 보호에 전혀 도움이 되지 않는다"며 "넷마블은 관련 조사에 철저히 임하고, 모든 것을 투명하게 밝혀야 할 것"이라고 밝혔다.

앞서 넷마블은 전날(26일) 홈페이지 공지를 통해 자사 PC게임 사이트에서 해킹이 발생해 △고객의 이름·생년월일·비밀번호 △가맹 PC방 사업주의 이름과 메일주소 △전현직 사원의 이름·사내메일·전화번호 등의 정보가 유출됐다고 밝혔다. 다만 넷마블은 주민등록번호 등 민감정보 유출은 없었다고 설명했다.

넷마블은 현재 관계기관과 함께 정확한 해킹 피해를 조사 중이다. 넷마블은 KISA 신고서에 사고원인을 '외부에 공개된 자산에서 SQL 쿼리가 가능한 파라미터 존재'라고 기재했다. SQL은 방대한 정보를 관리하는 데이터베이스(DB)에 사용되는 언어로, 매개변수(파라미터)에 의해 DB가 조작된 'SQL 인젝션' 공격을 당한 것으로 추정된다.