<편집자주> SK텔레콤의 유심 정보 유출 사건으로 보안 이슈에 대한 경각심이 커지고 있다. FETV에서는 통신사 뿐만이 아니라 수많은 개인정보를 보유하고 있는 게임사와 네이버·카카오와 같은 IT 기업들의 정보보호 및 보안체계에 대해 살펴보고자 한다.

 

[FETV=신동현 기자] 엔씨소프트는 2023년까지 정보기술 및 보호 부문에 도합 1조6000억원이 넘는 금액을 투자하며 정보보호와 개인정보보호 체계를 단계적으로 강화했다. 보안 교육은 글로벌 자회사 직원에게까지 대상으로 뒀고 글로벌 보안 표준을 유지 및 추가 인증하며 자체적으로 보안 솔루션 개발도 진행했다.

 

2020년 엔씨소프트다 발간한 ESG 보고서에 따르면 엔씨소프트는 정보보호와 개인정보보호를 각각 독립적으로 운영하며 정보보호위원회와 개인정보보호위원회를 구성했다. 이 체계는 정보보안센터장과 개인정보보호실장이 각각 책임을 맡아 보안 정책 수립과 위험 평가를 주도했다.

 

정보보안 교육을 통해 3219명의 임직원이 교육을 수료했으며 개인정보보호 교육은 772명이 참여했다. 교육은 악성메일 예방, 피싱메일 구별법 등 실질적인 보안 인식을 높이는 내용으로 진행됐다.

 

개인정보 유출 사고에 대비해 연 2회 개인정보 유출사고 대응 모의훈련을 통해 실전 대응 능력을 점검했다.

 

기술적으로는 서버 보안 시스템과 네트워크 방화벽을 도입해 외부 침입에 대비할 수 있는 다층 보안 체계를 구축했다. 특히 게임 서비스에서는 개인정보 보호 중심 설계(Privacy by Design)를 적용해 개인정보 유출 위험을 사전에 차단할 수 있는 구조를 마련했다.

 

Privacy by Design은 게임 서비스 개발 단계에서부터 개인정보 보호를 내재화하는 방식으로 이용자 개인정보가 불필요하게 노출되는 상황을 예방할 수 있다.

 

엔씨소프트는 ISO 27001, ISO 27701, ISMS-P 등 국제 정보보안 인증을 유지하며 글로벌 수준의 보안 체계를 지속했다. 또 74개 협력업체의 개인정보 보호 상태를 점검하고 기준에 미달할 경우 계약을 해지하는 관리 기준을 적용했다.

 

 

2021년에는 엔씨소프트는 정보보호 체계를 글로벌로 확장하며 One Team 체계를 도입했다. 이는 국내외 자회사를 포함한 통합 보안 관리 체계로 전 세계에서 동일한 보안 정책을 적용할 수 있도록 설계된 체계다.

 

이 해에는 정보보호 교육을 통해 4539명의 임직원이 교육을 수료했으며 개인정보보호 교육은 1161명이 수료했다. 교육 콘텐츠는 방송 패러디 형식으로 제작해 임직원의 접근성을 높였고 정기적으로 뉴스레터, 전사 공지를 통해 보안 인식 제고 활동을 진행했다.

 

이 시기부터 KISA에 정보보호활동에 대한 공시가 이뤄졌다. 2021년 KISA에 공시된 정보보호활동 보고에 따르면 엔씨소프트는 정보기술 부문에 5090억원, 정보보호 부문에 162억원을 투자했다.

 

주요 투자 항목으로는 글로벌 통합 보안관제 체계 구축과 보안위협 자동화 대응 시스템 구축 등이었다. 정보보호 전담 인력은 약 101명으로 운영됐으며 내부 인력은 약 82명, 외부 인력은 약 19명으로 구성됐다

 

기술적으로는 방화벽, 웹방화벽, 침입탐지시스템(IDS) 등 다층 보안 체계를 운영했으며 DB(데이터베이스) 접근 제어 솔루션을 통해 개인정보 보호를 강화했다. 개인정보 처리 시스템은 4시간 이상 미사용 시 자동으로 접속이 차단되도록 설정해 불필요한 정보 접근을 최소화했다.

 

2021년에도 ISO 27001, ISO 27701, ISMS-P 인증을 통해 정보보호 관리 체계의 국제적 표준을 유지했고 글로벌 ESG 평가 지표인 Sustainalytics ESG Risk Rating에서는 개인정보 보호 분야에서 글로벌 상위 1% 등급을 획득했다.

 

2022년 엔씨소프트는 서버 보안 모니터링 시스템인 'SAMS(Security Analysis Management System)'를 도입하며 서버의 보안 취약점을 실시간으로 감지하고 대응할 수 있는 체계를 마련했다. SAMS는 서버의 비정상 행위를 자동으로 탐지하며 악성코드와 보안 위협을 사전에 차단할 수 있는 솔루션으로 2022년 11월 특허를 등록했다.

 

정보기술 부문에는 5600억원, 정보보호 부문에는 173억원으로 투자금액을 늘렸고 게임 어뷰징 예방을 위한 바이올렛 안티치트 솔루션 운영, 외부자 관점의 모의침투 테스트 및 대응훈련 등이 투자 내역에 포함됐다.

 

바이올렛 안티치트 솔루션의 경우 게임 서비스내의 보안활동으로 게임 내 매크로와 핵 등의 부정행위를 방지하는 프로그램이다.
 

보안인증 체계는 전년과 같은 국제 인증 체계를 운영하며 추가로 글로벌 개인정보 보호 인증인 CBPR(국경 간 프라이버시 보호규칙)을 획득했다.

 

정보보안 교육의 경우 개인정보보호 교육 대상을 글로벌 자회사로까지 확대했다. 이수인원은 5377명으로 전년 대비 4000명 이상이 늘어났다. 또 개발자를 대상으로 'Secure Coding 교육 영상'을 활용해 보안 취약점을 예방할 수 있는 개발 방법론을 교육했다.

 

2023년에는 SAMS 솔루션을 글로벌로 확대 적용하여 전 세계 자회사의 서버 보안을 실시간으로 모니터링하고 대응할 수 있는 체계를 구축했다. 이와 함께 정보보호운영위원회와 개인정보보호운영위원회를 통해 보안 정책 수립, 위험 평가, 사고 대응 체계를 총괄하며 정보보호 관리 체계를 심화했다.

 

정보기술과 보호부문 투자는 각각 5679억원, 196억원으로 전년 대비 더 늘어났으며 전담 인력은 120명으로 유지됐다.

 

기술적으로는 쉐도우 IT 탐지 기능을 추가해 보안 관리가 이뤄지지 않는 서버를 탐지하고 관리할 수 있도록 개선했다. 코드사이닝 인증서 통합 시스템도 자체 개발해 보안 인증서를 중앙에서 통합 관리할 수 있게 돼 인증서의 노출 위험을 줄이고 인증 관리 효율성을 높였다.

 

보안 활동 부문에서는 개인정보 유출사고 모의훈련과 함께 재해복구 훈련을 통해 시스템 복구와 서비스 정상화를 위한 대응 체계를 점검했다. 보안 사고 발생 시 피해를 최소화할 수 있도록 TFT를 구성해 신속하게 대응할 수 있도록 했다.