넷마블(251270)이 최근 PC 게임 사이트 해킹 사고를 뒤늦게 신고했다는 의혹이 제기됐다. 넷마블은 침해 정황을 인지하는 즉시 시스템을 차단했으며 관계법령을 준수했다고 소명했다.

27일 한국인터넷진흥원(KISA)이 국회 과학기술정보방송통신위원장 최민희 더불어민주당 의원실에 제출한 자료에 따르면 넷마블은 11월 22일 오후 8시 56분에 시스템 침해 사고를 인지했다.

회사는 사고 발생 사실을 3일 뒤인 11월 25일 오후 8시 40분에 신고했다. 신고 내용은 '외부에 공개된 자산에서 SQL 쿼리가 가능한 파라미터 존재'다.

이는 웹사이트의 검색창이나 로그인 입력란 등을 통해 내부 데이터베이스(DB)에 직접 침투할 수 있는 '뒷문'이 열려 있었다는 뜻이다.

현행법 정보통신망법상 해킹 사고의 법정 신고 기준은 '침해 정황 인지 시점 24시간 이내'다. 개인정보 유출 사실은 72시간 이내에 신고해야 한다.

최 의원은 넷마블이 침해 사고 신고를 사흘간 지체했다며 이는 3000만원 이하 과태료 부과 대상이라고 지적했다.

넷마블은 이달 26일 홈페이지 공지를 통해 해킹 공격을 받아 개인 정보가 유출됐다고 알렸다.

넷마블 조사에 따르면 게임 이용자 이름과 생년월일, 암호화된 비밀번호, 가맹점주의 이름과 이메일 주소, 전현직 사원의 이름과 회사 이메일, 전화번호 등이 유출됐다.

넷마블 측은 고의로 신고를 늦춘 게 아니라고 설명했다.

넷마블 관계자는 "해킹 정황을 인지한 즉시 관련 시스템을 차단하고 이용자 보호를 최우선으로 대응했다"고 말했다.

그러면서 "토요일(22일)에 이상 징후를 인지한 만큼 24시간 내 신고를 진행하더라도 접수는 일요일에 이뤄질 수밖에 없었다"고 덧붙였다.

이 관계자는 "법정 기준에 따라 72시간 이내 유출 신고 절차를 완료했으며, 그 과정에서 어떤 고의적 지연이나 축소 행위는 전혀 없었다"고도 했다.

minjae@news1.kr