2025.11.22 넷마블 해킹 사건 요약

 

1. 개요

• 넷마블은 2025년 11월 22일 자사 PC 게임 포털 사이트에서 해킹으로 인한 침해 사고를 인지했습니다. 
• 초기에는 11월 25일 공식 발표를 통해 일반적인 개인정보 유출 사실을 알렸으나, 이후 정밀 조사를 통해 오늘(12월 3일) 추가적인 유출 사실을 2차 공지했습니다. 
• 이번 사건은 단순 고객 정보뿐만 아니라 과거 입사 지원자, 상담 고객 등의 민감한 정보까지 유출된 대규모 보안 사고로 확대되었습니다.

 

2. 피해범위

 - 현재까지 확인된 피해 규모는 매우 광범위하며, 12월 3일 추가 확인된 내용을 포함하면 다음과 같습니다.

• PC 게임 포털 회원: 약 611만 명 (휴면 계정 포함 시 관련 ID 약 3,100만 개)
• 가맹 PC방 사업주: 2015년 이전 사업주 약 6만 6,000명
• 전·현직 임직원: 약 1만 7,000명

 - [12/3 추가 확인] 특정 대상 그룹: 총 8,048건 추가 확인

• 고객센터 문의 고객 (2003~2004년, 2014~2021년)
• 온라인 입사 지원자 (2003~2006년)
• 잡페어(취업박람회) 부스 방문자 (2011년)
• B2B 사업 제안 담당자 (2001~2005년, 2011~2021년)

 

3. 유출항목

• 초기 발표와 달리 12월 3일 발표에서 주민등록번호를 포함한 민감정보 유출이 공식 확인되었습니다.
• 이는 "주민번호 유출은 없다"던 초기 입장이 번복된 것으로 가장 심각한 변경 사항입니다.
• 공통 유출 항목: 이름, 아이디, 이메일, 생년월일, 암호화된 비밀번호

 - [12/3 추가 확인] 민감 정보

• 주민등록번호: 고객센터 문의 고객 중 314건, 온라인 입사 지원자 중 990건 유출 확인
• 상세 개인정보: 입사 지원자의 종교, 휴대폰 번호, 주소 등 이력서 기재 내용
• 사업 정보: B2B 제안서 기재 내용 (담당자 연락처 등)

 

4. 원인

• 넷마블이 한국인터넷진흥원(KISA)에 신고한 내용에 따르면, 해킹의 주된 원인은 SQL 인젝션(SQL Injection) 공격으로 파악되었습니다. 
• 이는 웹 사이트의 보안 취약점을 악용해 데이터베이스(DB)에 악성 명령어를 주입하여 정보를 탈취하는 방식입니다. 
• 구형 시스템이 많은 PC 포털 사이트의 특성상, 오래된 웹 페이지의 취약점이 방치되었던 것이 원인으로 지목됩니다.

 

5. 대응

• 즉각적 차단 및 신고: 11월 22일 침해 인지 즉시 해당 IP 차단 및 보안 패치를 적용했으며, 25일 관계기관에 신고했습니다.
• 비밀번호 변경 권고: PC 포털 이용자들을 대상으로 비밀번호 변경 캠페인을 진행 중입니다.
• 개별 통지: 12월 3일 추가 확인된 민감정보 유출 피해자(8,048명)에게는 이메일, 문자 등을 통해 개별 안내를 시작했습니다.
• 보안 강화 약속: 넷마블은 2차 사과문을 통해 "뼈를 깎는 노력으로 보안 체계를 재점검하겠다"고 밝혔습니다.

 

6. 문제점

 - 민감정보 관리 부실 및 입장 번복

• 당초 "주민등록번호 유출은 없다"고 단언했으나, 추가 조사 결과 1,304건의 주민등록번호 유출이 확인되면서 신뢰도에 치명적인 타격을 입었습니다.

 

 - 과도한 데이터 보관 (개인정보 파기 의무 위반 의혹)

• 2003년 입사 지원자 정보나 2001년 사업 제안서 등 20년이 지난 데이터가 파기되지 않고 서버에 남아있다가 유출되었습니다.
• 이는 개인정보 보유 기간 경과 시 파기해야 하는 원칙을 지키지 않았다는 비판을 받고 있습니다.

 

 - 늑장 신고 논란

• 해킹 인지(22일) 후 신고(25일)까지 72시간이 걸려, 법적 의무인 '24시간 이내 신고'를 위반했다는 논란이 지속되고 있습니다.
• 넷마블은 "주말과 정확한 파악을 위한 시간이었다"고 해명했으나 과태료 부과 가능성이 제기됩니다.