최민희 국회 과방위원장 "넷마블, 해킹 늦장신고 3천만원 이하 과태료 대상" 주장

최근 넷마블이 "외부 해킹으로 인한 고객정보 유출 정황을 확인하고 대응 중" 이라고 밝혔지만, 외부 해킹을 인지한 시점부터 침해사고 신고를 사흘간 지체했다는 지적이 나왔다.

최민희 국회의원( 더불어민주당, 남양주갑 )이 27일 한국인터넷진흥원 (KISA) 으로부터 제출받은 자료에 따르면, 넷마블은 11월 22일 20시 56분에 넷마블 내부 시스템 침해사고를 인지했고, 25일 20시 40분에 뒤늦게 신고했다 . 신고내용은 ‘ 외부에 공개된 자산에서 SQL 쿼리가 가능한 파라미터 존재 ’ 라고 적었는데, 침해사고가 발생한 것으로 판단된다 .

정보통신망법 시행령 제 58 조의 2 에 따르면, 침해사고 발생을 알게 된 때부터 24시간 이내에 정부기관에 신고해야한다 . 하지만 넷마블 측은 22일 이를 인지하고도 23일이 아닌 25일에 신고했다 . 침해사고 신고를 사흘간 지체한 것으로 3천만원 이하의 과태료 부과 대상이다 .

이에 대해 넷마블은 "이번 사안은 토요일에 이상 징후를 인지한만큼, 24시간 내 신고를 진행하더라도 실제 접수는 일요일에 이뤄질 수 밖에 없는 상황" 이었다면서 "회사는 이용자 보호조치를 우선 수행한 뒤, 법정 기준에 따라 72시간 이내 유출신고 절차를 완료하는데 집중했다" 고 해명했다 .
그러나 의원실에서 한국인터넷진흥원에 문의한 결과, KISA 개인정보침해 신고센터 신고 접수 업무는 365일 24시간 운영하고 있으며 KISA 관계자 또한 "토요일에 신고 접수를 한다면 당일에 접수된다" 면서 "넷마블이 잘못 알고 있는 것 같다" 고 밝혔다 . 현재 KISA 는 넷마블이 접수한 신고서를 바탕으로 침해사고 경위를 조사 중에 있다 .

또한, 지난 26 일 넷마블은 공개사과문을 통해 "등록번호 등 고유 식별정보나 민감정보 유출은 없었다" 면서 게임 이용자와 피시방 가맹점주, 전현직 임직원 개인정보가 유출됐고 관련 정보에 이름, 이메일주소, 생년월일, 전화번호 등이 포함됐다고 밝혔다 .

개인정보보호법상 민감정보를 게임회사가 수집하여 보관할 이유는 없다 . 따라서 유출될 가능성 또한 전혀 없다 . 그런데 넷마블은 민감정보 운운하며 이름, 생년월일, 전화번호 등 2 차 피해를 불러올 수 있는 개인식별정보 유출이 별일 아닌 것처럼 피해를 축소하려 한 것이다 .

실제로 최민희 의원실에 넷마블이 답변 내용에 따르면, 넷마블은 민감정보를 수집하지 않는다고 밝혔다 . 의원실은 넷마블에 "수집하지도 않는 민감정보를, 유출되지 않았다고 언급한 이유가 무엇이냐" 는 질문에 "혹시 모를 고객님들의 걱정이 있으실까봐해서 말씀을 드린 부분" 이라는 답변을 보내왔다 .

최민희 과방위원장은 "기업이 침해사고 발생 사실을 축소하거나 모호하게 해명하는 것은 이용자 보호에 전혀 도움이 되지 않는다" 며 "넷마블과 같은 대기업 사업자는 단순히 법정 신고 의무를 충족하는 수준을 넘어, 발생 과정 · 유출 범위 · 조치 현황을 신속하고 투명하게 공개하는 것이 사회적 책임이자 국민적 신뢰의 출발점임을 명심해야 한다" 고 강조했다 .
이어 최 위원장은 "넷마블의 이번 대응을 보면 침해사고와 관련된 제도를 제대로 숙지하지도 못하면서 변명과 피해축소로 일관하려 한다" 며 "넷마블은 관련 조사에 철저히 임하고, 모든 것을 투명하게 밝혀야 할 것" 이라고 지적했다.


정준범 글로벌이코노믹 기자 jjb@g-enews.com

[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.