| <편집자주> SK텔레콤의 유심 정보 유출 사건으로 보안 이슈에 대한 경각심이 커지고 있다. FETV에서는 통신사 뿐만이 아니라 수많은 개인정보를 보유하고 있는 게임사와 네이버·카카오와 같은 IT 기업들의 정보보호 및 보안체계에 대해 살펴보고자 한다. |
[FETV=신동현 기자] 넥슨은 2011년 메이플스토리 대규모 해킹 사건 이후 정보보안에 대한 투자를 약속했다. 이후 2021년 KISA에 정보보호 공시를 시작한 이래로 3년간 정보기술과 정보보호 부문에 수백억원씩 투자하는 한편 정보보호 전담 조직 운영과 함께 ISMS-P, ISO 27001, ISO 27018, ePRIVACY 등 글로벌 정보보호 인증을 취득하며 보안 체계를 확립했다.
2011년 11월 넥슨이 운영하는 게임 '메이플스토리'에서 이용자 약 1320만명의 이름, 아이디, 비밀번호, 주민등록번호 등 개인정보가 유출됐다. 당시 전체 이용자 1800만명 중 70% 이상의 정보가 유출된 대규모 해킹 사태로 백업 서버에 대한 비인가 접근을 통해 발생했다. 11월 18일 해킹이 발생했지만 넥슨은 해킹 발생 3일 후인 11월 21일에 징후를 발견했고 24일 최종 확인돼 해킹 발생 1주일 후인 25일에 피해 공지와 사과문이 발표됐다.
넥슨은 이후 28일 간담회를 개최해 재차 사과하며 비밀번호 변경 캠페인, 휴면 계정 보호 시스템, 로그인 보안 강화, 최고보안책임자(CSO) 영입 및 보안관제센터 운영 등 4가지 보완 대책을 발표하며 보안 강화를 약속했다.
넥슨은 약속을 어떻게 이행했을까?
10년이 지난 2021년, KISA에 올라온 정보보호공시에 따르면 넥슨은 정보기술부문에 169억원, 정보보호부문에 135억원을 투자하며 본격적으로 보안 체계 강화에 나섰다. 당시 정보보호 전담 인력은 약 157명으로 CISO(정보보호 최고책임자, Chief Information Security Officer)와 CPO(개인정보보호 책임자, Chief Privacy Officer)를 지정했다.
ISMS-P(정보보호 및 개인정보보호 관리체계 인증), ISO 27001(정보보호 관리체계 국제 표준), ISO 27018(클라우드 개인정보보호 국제 표준), ePRIVACY(개인정보보호 인증) 등 글로벌 정보보호 인증을 유지하며 정보보호 관리 체계의 신뢰성을 확보했다.
365일 24시간 보안 모니터링 체계를 운영하며 개인정보 보호를 위한 가이드라인도 마련했다. 이 시기 넥슨은 개인정보보호 교육을 강화했다.
2022년에는 정보보호 투자가 133억원으로 소폭 감소했으나 정보기술부문 투자액은 396억원으로 크게 증가했다. 정보보호 전담 인력은 약 96명으로 조정했으며 정보보호 조직과 개인정보보호 조직을 통해 365일 24시간 보안 모니터링을 유지했다.
한국CISO협의회(정보보호 최고책임자 협의체), 한국침해사고대응팀협의회 등 외부기관과의 협력도 확대하며 최신 보안 동향에 대한 정보를 공유했다. 특히 개인정보 수탁사 관리를 통해 외부 파트너의 개인정보 보호 수준을 높였고 정기적인 보안 점검과 개선 활동도 추가로 진행했다.
2023년 들어 넥슨은 정보보호 부문에 158억원을 투자하며 다시 투자액을 확대했다. 정보기술부문 투자도 461억원으로 증가하며 보안 강화를 위한 예산을 늘렸다.
정보보호 전담 인력은 103명을 유지했으며 방화벽(외부 침입 차단), 침입방지시스템(IPS, Intrusion Prevention System), 침입탐지 시스템(IDS, Intrusion Detection System) 등 최신 보안 시스템을 도입했다.
개인정보는 암호화된 형태로 저장되고 VPN(가상 사설망) 및 OTP(일회용 비밀번호) 인증을 통해 외부 접근을 통제하는 등 기술적 보호조치를 강화했다.
또한 2023년 넥슨은 개인정보 유출 사고 발생 시 대응 프로세스를 강화했다. 2023년 넥슨에서 발간된 사회공헌 및 기업문화보고서에 따르면 넥슨은 해킹 발생 시 신속한 대응과 피해 최소화를 목표로 한 시스템을 운영하며 개인정보보호 배상책임 보험을 통해 이용자 피해를 구제할 수 있도록 조치했다.
이와 함께 'Privacy by Design'(기획 단계부터 개인정보 보호를 고려하는 보안 설계) 원칙을 도입했다. Privacy by Design이란 서비스나 시스템을 기획할 때부터 개인정보 보호를 우선적으로 고려하는 방식으로 개발 단계부터 개인정보 보호 조치를 통합해 보안성을 확보한다. 이를 통해 개인정보 유출 위험을 사전에 차단하고 사용자 데이터의 안전성을 높인다.
넥슨은 아동·청소년 이용자의 개인정보 보호 강화를 위해 '카트라이더' 캐릭터를 활용한 시각 콘텐츠 기반 동의서를 도입했다.
넥슨은 2023년부터 '카트라이더' 캐릭터를 활용해 구체적인 예시와 함께 이해하기 쉬운 대화 형식으로 '알기 쉬운 개인정보 수집 및 이용 동의서'와 '알기 쉬운 개인정보처리방침'을 제공하면서 어린 이용자와 보호자가 개인정보 제공 내용을 명확히 파악할 수 있도록 해 아동 개인정보 보호를 강화했다.
넥슨 관계자는 "보안 체제 강화는 IT 기업이자 게임 업체로서 이용자 보호를 위한 기본적인 조치"라며 "라이브 서비스 중인 게임이 많고 이용자도 많기에 다양한 솔루션을 운영하며 해킹 위협에 대해 언제나 선제 조치를 취하며 보안을 강화해 나갈 방침"이라고 말했다.
