최민희 국회 과학기술정보방송통신위원장(더불어민주당, 남양주갑)은 “대형 사업자가 기본적 의무를 소홀히 한 것은 이용자 보호에 중대한 문제”라고 지적했다.
한국인터넷진흥원(KISA)이 27일 최 위원장실에 제출한 자료에 따르면 넷마블은 2025년 11월 22일 오후 8시 56분 내부 시스템 침해사고를 인지했지만, 신고는 11월 25일 오후 8시 40분에야 진행했다.
넷마블 신고서. 출처=최민희 의원실
정보통신망법 시행령 제58조의2는 침해사고를 알게 된 때부터 24시간 이내 관계기관에 신고하도록 규정하고 있으며, 이를 어길 경우 3000만원 이하 과태료 부과 대상이다. 넷마블은 22일 사고를 인지하고도 23일이 아닌 25일에 신고해 법정 기한을 크게 초과했다.
이에 대해 넷마블은 “토요일에 이상 징후를 인지한 만큼 신고를 하더라도 실제 접수는 일요일로 넘어갈 수밖에 없는 상황이었다”며 “이용자 보호조치를 우선 수행한 뒤 법정 기준에 따라 72시간 이내 신고 절차를 완료했다”고 해명했다.
그러나 KISA는 의원실 질의에 “개인정보침해센터는 365일 24시간 접수를 운영하고 있으며 토요일 신고도 당일 접수된다”며 “넷마블이 신고 절차를 오해한 것으로 보인다”고 밝혔다. KISA는 현재 넷마블의 신고 내용을 토대로 침해사고 경위를 조사 중이다.
앞서 넷마블은 26일 공개사과문에서 “등록번호 등 고유식별정보나 민감정보 유출은 없었다”고 설명했다. 그러나 유출된 정보에는 이름, 이메일주소, 생년월일, 전화번호 등 2차 피해 가능성이 있는 개인식별정보가 포함돼 있다.
의원실 확인 결과 넷마블은 평소 민감정보를 수집하지 않는 것으로 파악됐다. 의원실이 “수집하지 않는 민감정보를 왜 유출되지 않았다고 밝혔느냐”고 묻자 넷마블은 “혹시 모를 고객 걱정을 덜기 위한 차원”이라고 답했다.
최민희 위원장은 “기업이 침해사고 사실을 축소하거나 모호하게 설명하는 것은 이용자 보호에 전혀 도움이 되지 않는다”며 “대형 사업자는 단순히 법정 신고 의무를 넘어서 사고 원인과 유출 범위, 조치 현황을 투명하게 공개해 국민 신뢰를 확보해야 한다”고 강조했다. 이어 “넷마블의 대응은 제도 이해 부족과 피해 축소 성격을 띤다”며 “관련 조사에 성실히 임하고 모든 사실을 투명하게 밝혀야 한다”고 덧붙였다.
