[알파경제=이준현 기자] 해킹으로 611만명의 개인정보가 유출된 넷마블에서 8000여건의 개인정보가 추가로 유출된 사실이 확인됐다. 주민등록번호 1300여건이 포함됐고, 일부는 20년 전 수집된 정보인 것으로 드러나 개인정보 관리 체계에 대한 비판이 커지고 있다.

5일 게임 업계에 따르면 넷마블은 지난 3일 홈페이지를 통해 "내부 조사 과정에서 유출 내용이 추가로 확인됐다"며 이같이 밝혔다.

추가로 확인된 유출 정보는 고객센터 문의 고객 정보 3185건, 온라인 입사지원자 정보 2022건, 2011년 잡페어 부스 방문자 정보 966건, 기업간거래(B2B) 사업 제안 담당자 정보 1875건 등 총 8048건이다.

이 중 고객센터 이용자 주민등록번호 314건, 온라인 입사지원자 주민등록번호 990건 등 1304건의 주민번호가 포함됐다. 온라인 입사지원자 정보에는 이름과 이메일, 종교 등 입사지원서에 기재된 내용이 담겨 있었다.

특히 유출된 정보 중 일부는 10~20년 전에 수집된 것으로 확인됐다. 고객센터 문의 정보는 2003~2004년과 2014~2021년, 입사지원자 정보는 2003~2006년, B2B 담당자 정보는 2001~2005년과 2011~2021년에 수집된 데이터였다.

개인정보보호법과 채용절차법은 목적이 종료된 개인정보의 파기를 의무화하고 있어, 넷마블이 장기간 불필요한 정보를 보관한 것은 법 위반 소지가 있다는 지적이 나온다.

넷마블은 지난달 27일 PC 게임 포털사이트 해킹으로 611만명분의 고객 및 임직원 정보가 유출됐다고 1차 발표한 바 있다. 당시 휴면 처리된 ID와 비밀번호 3100만여개, 2015년 이전 PC방 가맹점 6만6000여곳의 사업주 정보도 함께 유출됐다.

업계에서는 이번 사고를 두고 상대적으로 부족한 보안 투자와 무관하지 않다는 비판이 제기된다.

한국인터넷진흥원 정보보호 공시현황에 따르면 넷마블의 지난해 정보보호 투자액은 57억원으로, 같은 기간 넥슨(228억원), 엔씨소프트(182억원)의 절반에도 미치지 못했다.

넷마블의 보안 투자는 2021년 73억원에서 2023년 52억원으로 감소했다가 지난해 57억원으로 소폭 회복됐으나, 3년간 27%가 줄어든 수치다. 같은 기간 넥슨은 67%, 크래프톤은 138%, 엔씨소프트는 12% 각각 투자를 늘렸다.

넷마블은 법적 책임 부담도 안게 됐다. 개정 개인정보보호법은 위반 행위에 대해 매출액의 3% 이내에서 과징금을 부과할 수 있다. 넷마블의 지난해 매출은 2조6638억원으로, 단순 계산하면 최대 800억원의 과징금이 가능하다.

실제 과징금은 사고와 직접 관련된 매출, 위반 행위의 중대성과 고의성, 민감정보 유출 여부, 자진신고 및 피해구제 조치 등을 종합적으로 고려해 결정된다.

넷마블 관계자는 "고객님들의 소중한 정보를 철저하게 보호하지 못한 것에 대해 거듭 사과드린다"며 "관계기관 조사에 성실히 임하고 있으며, 재발 방지를 위해 전사적으로 보안 강화에 총력을 다하겠다"고 밝혔다

 

[ⓒ 알파경제. 무단전재-재배포 금지]