티스토리 뷰
목차
🔒 넷마블 정보 유출 사태 분석: '보안 불감증'이 낳은 3년 27% 투자 감소의 그림자
Ⅰ. 611만 명 정보 유출과 정보보호 투자 규모의 역설
✔ 2024년 정보보호 투자액: 약 57억 원.
✔ IT 투자액 대비 비율: 5.2%.
✔ 경쟁사 대비: 넥슨 (228억), 엔씨소프트 (182억)의 절반 이하.
✔ 3년 간 투자액 추이: 2021년 73억 원 → 2023년 52억 원 → 2024년 57억 원. 총 27% 감소.
최근 국내 게임업계를 뒤흔든 넷마블 PC 게임 포털사이트 해킹 사건은 단순한 기술적 결함 이상의 구조적인 문제를 드러냈습니다. 총 611만 명분의 고객 및 임직원 정보가 유출되었다는 자체 조사 결과가 나온 직후, 한국인터넷진흥원(KISA)의 정보보호 공시현황을 통해 넷마블의 정보보호 부문 투자 규모가 경쟁사 대비 가장 낮은 수준이었다는 사실이 확인되며 충격을 더하고 있습니다.
2024년 기준으로 넷마블이 정보보호에 투자한 금액은 약 57억 원으로, 전체 정보기술(IT) 투자액 1천100억 원의 5.2%에 불과했습니다. 이는 국내 빅3 게임사(3N) 중 단연 최저 수준으로, 엔씨소프트(182억 원)의 3분의 1, 넥슨코리아(228억 원)의 4분의 1 수준에 머물렀습니다. 시가총액 1위인 크래프톤(97억 원)과 비교해도 확연히 적은 규모입니다. 정보보호 투자 규모는 기업의 보안에 대한 의지와 책임감을 보여주는 바로미터라는 점에서, 이번 대규모 정보 유출 사태와 넷마블의 소극적인 보안 투자 사이의 짙은 상관관계에 대한 비판은 피하기 어려워 보입니다.
Ⅱ. 3년간 27% 감소: 대규모 유출 직전까지 지속된 '보안 불감증'
더욱 심각한 문제는 넷마블의 정보보호 투자 규모가 지속적인 감소 추세를 보였다는 점입니다. 2021년 73억 원을 기록했던 투자액은 이듬해 66억 원으로 줄었고, 2023년에는 52억 원까지 떨어졌습니다. 작년에 소폭 늘어난 57억 원을 기록했으나, 3년간의 누적 감소율은 무려 27%에 달합니다.
반면, 경쟁사들은 보안의 중요성을 인지하고 투자를 적극적으로 확대했습니다. 엔씨소프트는 게임 매출 감소세에도 불구하고 3년간 정보보호 투자를 12% 늘렸으며, 넥슨코리아는 67%, 크래프톤은 무려 138%나 투자를 확대했습니다. 이처럼 주요 게임사들이 사이버 위협의 증가에 발맞춰 투자를 늘리는 동안, 넷마블은 오히려 보안 예산을 삭감하는 행보를 보였고, 이는 결국 대규모 고객 정보 유출이라는 최악의 결과로 돌아왔습니다. 이 같은 투자 역행 현상은 기업의 보안 불감증이 단순히 인력이나 시스템의 문제를 넘어 최고 경영진의 우선순위 설정 문제임을 시사합니다.
Ⅲ. 정보보호 공시제도의 역할과 의무 기업의 책임
이번 정보 유출 사건과 투자 규모 공개는 과학기술정보통신부가 2021년부터 KISA를 통해 운용하고 있는 정보보호 공시제도의 중요성을 다시금 부각시킵니다. 이 제도는 연 매출 3천억 원 이상의 상장법인이나 일일 평균 이용자 수 100만 명 이상인 기업 등 일정 기준 이상의 기업들에게 정보보호 현황을 의무적으로 제출하도록 하고 있습니다. 이는 시장과 고객에게 기업의 보안 투자와 관리 수준을 투명하게 공개함으로써 자율적인 보안 경쟁을 유도하고, 정보보호 책임을 강화하기 위한 목적을 지닙니다.
넷마블 역시 이 의무 공시 대상 기업으로서 매년 현황을 제출해왔습니다. 그러나 공시된 낮은 투자액과 현실에서 발생한 대규모 해킹 피해는 공시된 수치와 실제 보안 수준 사이에 괴리가 존재했음을 보여줍니다. 기업이 정보보호 투자를 규제를 위한 최소한의 비용으로만 간주하는 태도는 결국 소비자의 신뢰 상실과 막대한 사회적 비용으로 이어질 수밖에 없습니다.
Ⅳ. 게임업계 특유의 보안 리스크와 고객 신뢰 회복의 과제
게임업계는 수백만 명의 이용자 정보뿐만 아니라 결제 정보, 계정 자산(아이템 등) 등 경제적 가치가 높은 민감한 정보를 대량으로 보유하고 있어 해커들의 주된 표적이 됩니다. 넷마블 역시 이번에 이름, 생년월일, 암호화된 비밀번호 등 중요 정보 외에도, 휴면 ID와 비밀번호 3,100만여 개, 심지어 PC방 가맹점 사업주 및 전현직 임직원 정보까지 유출되어 그 피해 범위가 매우 광범위합니다.
이번 사태는 게임사들이 모바일 게임 중심의 성장에 집중하는 동안, 상대적으로 레거시 시스템(PC 포털 사이트)의 보안 관리를 소홀히 했을 가능성을 시사합니다. 게임사들은 지속적인 업데이트와 신규 콘텐츠 개발만큼이나, 구형 플랫폼을 포함한 모든 서비스 영역에 걸쳐 통합적이고 일관된 보안 투자를 집행해야 할 중대한 책임을 인식해야 합니다. 넷마블이 고객의 잃어버린 신뢰를 회복하기 위해서는 단기적인 사과를 넘어, 경쟁사들의 투자 규모를 압도하는 근본적인 보안 인프라 재구축 계획을 제시해야 할 것입니다.
Ⅴ. 정보보호 투자, 비용 아닌 '지속 가능한 경영'의 필수 요소
넷마블 정보 유출 사건은 모든 기업, 특히 데이터를 핵심 자산으로 하는 IT 기업들에게 정보보호 투자의 중요성을 다시 한번 뼈저리게 일깨워줍니다. 정보보호는 일회성 비용이 아니라 장기적인 사업 안정성과 지속 가능한 경영을 위한 필수적인 투자입니다. 사이버 리스크가 점점 커지고 있는 현대 사회에서, 보안 시스템의 취약점은 언제든 대규모 재앙을 초래할 수 있습니다.
앞으로 기업들은 KISA 공시제도를 단순한 형식적 의무가 아닌, 자사의 보안 건전성을 대외적으로 입증하고 경영 투명성을 확보하는 수단으로 활용해야 합니다. 정보보호 예산의 확대와 투명한 집행, 그리고 최고 경영진의 확고한 보안 의지만이 고객 정보의 안전을 담보하고 기업의 미래를 지킬 수 있는 유일한 길입니다.