넷마블 위법! 20년 전 입사지원서 주민번호까지 털렸다…"왜 아직도 갖고 있었나"

611만 명 유출에 이어 8,048건 추가 확인…2003~2006년 입사지원자 주민등록번호 990건 포함, 개인정보보호법 위반 소지

핵심 요약

1차 유출(11월 27일 발표): PC게임 사이트 이용자 611만 명 개인정보 유출 (주민번호 없음)
2차 유출(12월 3일 발표): 고객센터·입사지원자 등 8,048건 추가 유출, 주민등록번호 1,304건 포함
문제의 핵심: 2003~2006년 입사지원서를 20년간 파기하지 않고 보관, 개인정보보호법 위반 소지
보안 투자: 넷마블 정보보호 투자 57억 원, 넥슨(228억)·엔씨(182억)의 1/3~1/4 수준
피해자 대응: 넷마블 사칭 피싱 주의, 개인정보 악용 모니터링 필요

국내 대형 게임사 넷마블에서 대규모 개인정보 유출 사태가 확대되고 있다. 지난달 27일 611만 명 규모의 1차 유출을 발표한 데 이어, 12월 3일에는 주민등록번호가 포함된 8,048건의 추가 유출을 공지했다. 특히 20년 전 입사지원서에 기재된 주민등록번호까지 유출되면서, 개인정보 파기 의무를 위반한 것 아니냐는 비판이 거세다.

1차 유출: 611만 명 PC게임 이용자 정보 털려

넷마블은 지난 11월 22일 자사 PC 게임 포털사이트가 외부 해킹 공격을 받았다고 밝혔다. '바둑', '장기', '마구마구', '모두의마블(PC)' 등 18종의 PC 온라인 게임 이용자 정보가 유출 대상이었다.

1차 유출 내용 (11월 27일 발표)

유출 대상	규모	유출 정보
PC게임 포털 회원	611만 명	이름, 생년월일, 암호화된 비밀번호
휴면 ID·비밀번호	3,100만 개	ID, 암호화된 비밀번호 (개인식별정보 삭제됨)
PC방 가맹점주 (2015년 이전)	6만 6,000곳	사업주명, ID, 이메일
전·현직 임직원	1만 7,000건	이름, 생년월일, 회사 이메일

당시 넷마블은 "주민등록번호 등 고유식별정보나 민감정보 유출은 없었다"고 강조했다. 모바일 게임 및 넷마블 런처를 통해 실행되는 게임은 해당하지 않는다고도 밝혔다.

2차 유출: 주민등록번호 1,304건 추가 확인

그러나 12월 3일, 넷마블은 내부 조사 과정에서 추가 유출 사실을 확인했다고 발표했다. 이번에는 고객센터 문의 고객, 온라인 입사지원자, 잡페어 방문자, B2B 사업 제안자 등 8,048건의 개인정보가 추가로 유출된 것으로 나타났다.

2차 유출 내용 (12월 3일 발표)

유출 대상	수집 시기	건수	유출 정보
고객센터 문의 고객	2003~04, 2014~21	3,185건	이름, 이메일 등 (주민번호 314건 포함)
온라인 입사 지원자	2003~2006	2,022건	이름, 이메일, 종교 등 (주민번호 990건 포함)
잡페어 부스 방문자	2011	966건	이름, 이메일, 휴대폰 번호 (전체 암호화)
B2B 사업 제안 담당자	2001~05, 2011~21	1,875건	이름, 이메일, 휴대폰 번호
합계		8,048건	주민등록번호 총 1,304건

가장 충격적인 것은 2003~2006년에 수집한 입사지원서 정보가 아직까지 남아있었다는 점이다. 해당 시기는 넷마블의 인턴쉽 프로그램 등 채용 절차에서 수집된 것으로 보이며, 입사지원서에 기재된 주민등록번호 990건이 고스란히 유출됐다.

실제 피해자가 받은 안내 메일

"개인정보 유출 사고 발생에 대해 진심으로 사과드립니다.

넷마블은 지난 달 22일 발생한 해킹에 의한 정보유출 사고를 조사하던 중 귀하의 개인정보 유출 사실을 확인하였습니다. 현재까지 유출이 확인된 정보는 2005~06년, 당사 인턴쉽 프로그램 지원시 기재하신 내용들로써 이름, 주민등록번호, 이메일 등 입니다.

당사는 유출 사실을 인지한 이후, 관계기관 신고를 진행하였고 공격 경로의 차단, 홈페이지 취약점 점검 및 보안을 강화하였습니다. 당사를 사칭하거나 개인정보 악용으로 의심되는 전화, 이메일에 주의해 주시길 당부드리며..." — 넷마블이 피해자에게 발송한 개별 안내 이메일 중 일부

20년 전 인턴쉽 프로그램에 지원했던 사람들이 뜬금없이 개인정보 유출 안내 메일을 받게 된 것이다. 당시 대학생이었던 지원자들은 현재 40대 전후의 사회인이 되었을 것이며, 20년이 지나서야 자신의 주민등록번호가 유출됐다는 통보를 받은 셈이다.

"20년 전 서류를 왜 아직도?"…개인정보보호법 위반 소지

핵심 쟁점은 넷마블이 왜 20년 전 채용 서류를 아직까지 보유하고 있었느냐는 것이다. 개인정보보호법과 채용절차법에 따르면, 채용 관련 서류는 채용 여부 확정 후 지체 없이(통상 5일 이내) 파기해야 한다.

법률	내용
개인정보보호법 제21조	개인정보가 불필요하게 되었을 때 지체 없이 파기해야 함
채용절차법 제11조	반환 청구 기간이 지난 채용 서류는 개인정보보호법에 따라 파기
개인정보보호 가이드라인	'지체 없이'란 통상 5일 이내를 의미

넷마블 정보보호 투자, 3N 게임사 중 최저

이번 대규모 유출 사고의 배경으로 넷마블의 부족한 보안 투자가 지적되고 있다. 한국인터넷진흥원(KISA) 정보보호 공시현황에 따르면, 넷마블의 정보보호 투자액은 '3N'(넥슨·넷마블·엔씨소프트)으로 불리는 국내 주요 게임사 중 가장 낮은 수준이다.

국내 주요 게임사 정보보호 투자 비교 (2024년 기준)

게임사	투자액	3년간 증감
넥슨코리아	228억 원	+67%
엔씨소프트	182억 원	+12%
크래프톤	97억 원	+138%
넷마블	57억 원	-27%

* 출처: KISA 정보보호 공시현황

넷마블의 정보보호 투자액은 2021년 73억 원에서 2023년 52억 원까지 줄었다가 2024년 57억 원으로 소폭 회복했다. 그러나 이는 넥슨의 1/4, 엔씨소프트의 1/3에도 미치지 못하는 수준이다. 다른 게임사들이 보안 투자를 늘리는 동안 넷마블만 유일하게 투자를 줄였다는 점에서 보안 의식 부족이라는 비판을 피하기 어렵다.

올해만 SKT·쿠팡·넷마블…대형 유출사고 연속

2025년은 유독 대형 개인정보 유출 사고가 많았다. 4월 SK텔레콤 유심 해킹 사태, GS샵 158만 건 유출, 쿠팡 4,500명 정보 유출에 이어 넷마블까지 터졌다.

2025년 주요 개인정보 유출 사고

시기	기업	피해 규모	특징
2월	GS샵	158만 건	크리덴셜 스터핑 공격
4월	SK텔레콤	2,500만 명	유심 정보 유출, 집단소송 진행 중
하반기	쿠팡	4,500명	개인정보 무단 유출
11월	넷마블	611만 명 + 8,048건	20년 전 채용 서류까지 유출

특히 SK텔레콤 사태 이후 개인정보보호법이 개정되어 과징금 산정 기준이 강화되었다. 유출된 개인정보 관련 매출에서 '최종 책임 관계사의 사고 직전 3년간 평균 매출'로 기준이 바뀌면서, 대기업의 경우 수백억~수천억 원대 과징금이 부과될 수 있게 되었다.

피해자가 알아야 할 것들

개인정보 유출 피해자 대응 가이드

1. 넷마블 사칭 피싱 주의
넷마블을 사칭한 전화, 문자, 이메일에 주의하세요. 특히 "개인정보 유출 조회" 등을 빙자한 링크 클릭은 절대 금물입니다. 2. 명의도용방지서비스 가입
금융권·통신사의 명의도용방지서비스에 가입해 제3자가 내 명의로 새로운 계좌나 휴대폰을 개통하는 것을 차단하세요. 3. 주민등록번호 변경 검토
주민등록번호가 유출된 경우, 주민등록번호 변경 신청을 검토해볼 수 있습니다. 다만 절차가 복잡하고 승인이 까다롭습니다. 4. 넷마블 고객센터 문의
유선: 1588-5180 / 이메일: privacy-help@netmarble.com

넷마블 관계자는 "고객님들의 소중한 정보를 보다 철저하게 보호하지 못한 것에 대해 거듭 사과드린다"며 "사고 원인 규명을 위해 관계기관 조사에 성실히 임하고 있으며, 재발 방지를 위해 전사적으로 보안 강화에 총력을 다하겠다"고 밝혔다.해당 박예현 기자에게도 예전 2005~2006년 입사채용에 관해 기술한 것에 대한, 이메일이 왔다. 너무나 황당할 따름이다. 다른 유출과 달리 주민번호 13자리를 털린 것과 아직도 개인정보를 왜 넷마블이 약 20년 동안 보관하는지도 이 자체가 위법으로 보고 있다. 그러나 20년간 파기하지 않고 보관한 채용 서류, 경쟁사 대비 현저히 낮은 보안 투자, 1차 발표 때 "주민번호 유출 없다"고 했다가 번복한 점 등을 고려하면, 넷마블의 개인정보 관리 체계 전반에 대한 점검이 필요해 보인다. 개인정보보호위원회와 한국인터넷진흥원의 조사 결과에 따라 추가 제재가 이뤄질 가능성이 높다.