[서울=뉴스핌] 이성화 기자 = 넷마블이 운영하는 PC 게임 포털 사이트에 해킹이 발생해 611만명의 개인정보가 유출된 데 이어 8000여 건의 정보가 추가 유출된 사실이 드러났다.

주민등록번호나 개인 민감정보 유출은 없었다는 최초 발표와 달리 자체 조사 과정에서 일부 고객과 과거 입사 지원자의 주민등록번호가 유출된 정황이 나오면서 피해 규모가 더 커질 수 있다는 우려가 나온다.

4일 넷마블에 따르면 회사는 내부 조사 진행 과정에서 고객센터 문의 고객, 온라인 입사 지원자, 잡페어 부스 방문자, B2B(기업간거래) 사업 제안 담당자 등의 개인정보 8048건이 유출된 사실을 추가로 확인했다.

유출된 정보 중에는 이름, 이메일, 휴대전화 번호 외에도 고객센터 문의 고객(2003~2004년, 2014~2021년)의 주민등록번호 314건, 온라인 입사 지원자(2003~2006년)의 주민등록번호 990건이 포함됐다.

넷마블은 1차 자체 조사 결과 "주민등록번호 등과 같은 고유식별정보나 민감정보 유출은 없는 것으로 확인됐다"고 밝혔지만 후속 조사를 진행하는 과정에서 일부 주민등록번호가 유출된 사실을 발견한 것으로 전해졌다.

회사는 유출 대상자에 대한 개별 안내를 진행하고 있으며 개별 통지 확인이 어려운 대상자를 위해 공식 홈페이지에 사과문과 유출 내용을 게재했다.

앞서 넷마블은 지난달 22일 바둑, 장기 등 PC 게임을 서비스하는 자사 포털 사이트의 외부 해킹 사실을 처음 인지하고 같은 달 25일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 다음 날인 26일에는 공식 홈페이지에 사과문을 올려 고객에게 해킹 사실을 알렸다.

지난달 27일 넷마블이 발표한 1차 자체 조사 결과에 따르면 유출 규모는 PC 게임 포털 사이트 회원(휴면 계정 포함) 총 611만여 명이다. 또 2015년 이전 PC방 가맹점 6만6000여 곳의 사업주와 전현직 임직원 정보 등 1만7000여 건도 유출된 것으로 집계됐다.

넷마블은 현재 관계기관과 함께 정밀 조사를 진행하고 있다. 넷마블은 KISA에 제출한 신고서에 사고 원인을 '외부에 공개된 자산에서 SQL 쿼리가 가능한 파라미터 존재'라고 밝혔다.

SQL(Structured Query Language)은 데이터베이스(DB)에서 방대한 데이터를 읽고 저장·수정·삭제하기 위해 사용되는 표준 언어다. 업계에서는 공격자가 매개변수(파라미터)를 조작해 DB에 접근한 뒤 정보를 탈취하는 'SQL 인젝션' 공격이 일어난 것으로 추정한다.

해킹이 발생한 PC 게임 포털 사이트는 마구마구, 사천성, 야채부락리, 모두의 마블 등 넷마블이 장기 서비스를 이어온 PC 게임을 지원하고 있다.

넷마블은 모바일 게임이나 넷마블 런처 게임은 이번 유출 대상에 해당하지 않는다고 밝혔다. 올해 출시한 'RF 온라인 넥스트', '세븐나이츠 리버스', '뱀피르' 등 모바일 게임들은 공격을 비껴간 것으로 보인다.

이에 넷마블이 오래된 게임과 PC 사이트 정보 관리에는 소홀했다는 지적이 나온다. 넷마블은 내부 태스크포스(TF)를 꾸려 해킹 사태에 대응하고 있으며 고객의 혼선을 최소화하기 위해 실시간으로 침해 사실을 알리고 있다. 조사 과정에서 추가로 확인되는 내용도 즉시 공유할 방침이다.

넷마블 관계자는 "고객들의 소중한 정보를 보다 철저하게 보호하지 못해 거듭 사과드린다"라며 "당사는 사고 원인 규명을 위해 관계기관의 조사에 성실히 임하고 있으며 재발 방지를 위해 전사적으로 보안 강화에 총력을 다하겠다"라고 전했다.

shl22@newspim.com