변화하는 업무환경 및 공격기술에 실시간 대응하는 ‘변화관리’ 중요

국내 최대 온라인 게임회사인 넥슨은 최근 고객정보 유출사고를 교훈 삼아 고객정보보호를 최대 보안 이슈로 삼고 사내 보안 시스템을 강화하고 있다. 특히 고객정보DB 암호화, 고객정보 추출 툴 개발 등으로 실시간으로 대응할 수 있는 체계 마련에 집중하고 있다. 이에 연수권 넥슨 보안팀 팀장을 만나 넥슨만의 ‘보안’에 대한 전략에 대해 들었다.

사내 보안팀의 구성과 주요 업무는?

넥슨은 지난 1996년 세계 최초의 온라인 그래픽 게임인 ‘바람의 나라’를 상용화한 이래 ‘카트라이더’, ‘메이플스토리’ 등 완성도 높은 게임을 선보였다. 국내 뿐 아니라 2002년 일본진출을 시작으로 현재 미국, 중국, 유럽 등에서 3억 2천여 명의 회원에 게임을 서비스하는 글로벌 엔터테인먼트 기업이다.

사내 보안팀은 총 8명으로 구성되어 있으며 사내 보안정책 수립, 게임 서비스에 대한 취약점 분석 및 대응방안 수립, 보안 시스템 구축/운영, 침해사고 발생시 침해 경로 추적 및 침해원인(공격툴, 백도어 등)분석, 게임핵 분석 및 대응 업무 등을 수행한다.

현재 사내 최대 보안 이슈는 무엇인가?

현재 사내 보안 최대 이슈는 모든 기업들이 마찬가지겠지만 ‘고객정보보호’이다. 최근 옥션 등 다수의 고객정보 유출 사고가 발생하고 있어 고객정보를 안전하게 관리하는데 중점을 두고 있으며 타 사이트에서 유출된 개인정보를 이용한 고객의 피해가 발생하지 않도록 대응하고 있고 또 이를 강화하고 있다.

올해 강화된 사내 정보보안 시스템이나 정책이 있다면?

올해 넥슨은 보안을 강화하기 위해 보안 업무프로세스 체계 수립에 초점을 맞추고 있다. 그 동안 진행하고 있는 보안 업무와 향후 추가되어야 할 보안 업무를 정의하고 과제를 선정하여 수행하고 있으며, 매년 변화되는 보안 환경에 대응할 수 있는 보안 업무 변화관리 체계를 수립하고 있다. 그리고 고객정보보호를 위해 고객정보DB 암호화 작업을 수행하고 있고 법률에서 제시한 관리적·기술적 보호조치를 충실하게 이행하고 있다.

또한 향후 고객정보 유출을 예방하기 위해 강화된 고객정보보호 정책 수립 및 고객정보 추출툴 개발 등, 실시간으로 대응할 수 있는 체계를 마련하고 있다. 또한 전 세계로 확대되고 있는 넥슨 게임 고객의 안전을 위해 글로벌 보안지원 계획을 수립하고 있다.

최근의 보안 사고와 관련, 보안 정책의 변화는?

최근 연이어 발생하고 있는 고객정보 유출 사고는 큰 교훈을 주었다. 이 때문에 넥슨은 고객정보보호에 대한 암호화, 전용 추출 툴 개발, 개인정보보호 정책 강화 등 고객정보보호 강화 방안을 수립하고 진행하고 있다. 또한 DDoS 공격에 대응하기 위한 포트 차단 정책, 관련 보안 솔루션 도입·검토 등, 다각도로 대응책 마련에 고심하고 있다.

국내 대표적인 온라인 게임 기업으로서 경영진들의 보안에 대한 인식은?

현재 게임서비스에 핵쉴드(게임보안 솔루션), OTP(일부 도입완료, 전사 도입진행 중), 키보드 보안 솔루션 및 개인방화벽 등이 도입되어 있다. 또한 보안 강화를 위해 추가적인 솔루션이 도입될 예정이다. 또한 보안 업무 확대를 위해 지속적으로 인력 충원을 계획하고 있으며 경영진에서도 서비스 보안에 대해 많은 관심을 가지고 투자를 아끼지 않고 지원하고 있다.

온라인 게임회사만이 가지고 있는 차별화된 보안 시스템이 있다면?

타 기업과 차별화된 부분이 있다면 아무래도 게임 회사다 보니 게임 보안이 중점을 이루고 있다고 말할 수 있다. 게임서비스의 안정적인 운영과 게임 내에서의 유저들의 균등한 기회를 침해하는 게임 핵(정상적인 게임 플레이 내에서 있을 수 없는 행위를 할 수 있게 하는 프로그램)을 차단하는 업무를 수행하는데 다수의 게임을 서비스하다 보니 각 게임 별로 발생되는 게임 핵이 많아 실시간으로 대응하기 쉽지 않은 작업이다. 특히 중국에서 기업형으로 국내 게임을 노리고 대량으로 게임 핵을 양산하고 있고 해킹기술이 날로 발전하고 있어 지속적으로 기술력을 높이는 작업도 같이 진행하고 있는 실정이다.

고객정보보호를 위해 올해 추가되는 보안 투자와 계획이 있는가?

앞서 언급한 것처럼 올해에는 고객정보보호를 위해 회사 내부적으로는 고객정보암호화, 전용 추출 툴 개발(추출 시 승인프로세스, 모든 로그기록, 실시간 모니터링)을 진행하고 있다. 또 OTP 솔루션(메이플, SP1 도입완료)을 전사 도입 중에 있다. 이 외에도 게임 모니터링 시스템을 개발하여 전체 게임서버에 설치, 외부에서의 공격을 실시간으로 모니터링 할 수 있는 체계를 구축하고 있다.

현재 도입·운영하고 있는 보안 솔루션은 무엇이며, 국내 보안 솔루션과 외산 솔루션의 장·단점은?

현재 도입해서 사용하고 있는 보안 솔루션은 방화벽, IPS, 게임보안솔루션, OPT, 안티바이러스 솔루션, VPN, 키보드 보안 솔루션 등이며 타사에서 사용하는 대부분의 보안 솔루션은 도입·보유하고 있다. 국산과 외산을 어떻다 말하기는 좀 어려움이 있지만 우리 팀에서 BMT한 결과를 말하자면 기능 및 가격적인 부분에서 외산 제품에 높은 점수를 주고 싶다.

그러나 외산은 유지보수 및 기술지원 받기가 쉽지가 않은 단점이 있으며 이 부분은 국산의 강점이라고 할 수 있다. 그리고 국산 제품도 기능면에서도 외산과 비슷한 수준으로 많이 좋아지고 있다고 생각한다.

최근 기업의 핵심 기술 정보나 고객정보가 해킹이나 유출의 대상이 되고 있는데 어떻게 대처하고 있는가?

기업의 핵심기술이나 고객정보의 유출 경로가 온·오프라인에 걸쳐 다양하게 존재하기 때문에 기업 전체를 펼쳐 놓고 종합적으로 생각할 문제라고 생각한다. 우선 기업의 핵심정보와 고객정보의 현황을 명확히 파악하는 것이 필요하다. 하나라도 보호 대상에서 제외되면 다른 곳에 아무리 투자를 많이 하고 보안을 강화해도 의미가 없다.

그 다음은 해당 자료를 취급하는 현업 프로세스 이해를 통해 보안 취약점을 도출하고 프로세스를 개선하는 작업을 수행한다. 필요하다면 솔루션 도입을 통해 실시간으로 감시할 수 있는 체계를 구축하는 것도 필요하다.

이와 더불어 정기적인 감사, 직원들 인식교육, 내·외부 직원 서약서 징수 등 다수의 보안 업무 프로세스를 종합적으로 진행하여 직원들의 보안 인식을 높이는 작업이 병행되어야 한다. 이는 어느 한 부분을 강화해서 큰 효과를 보기는 어려우며 회사의 보안 프로세스를 체계적으로 수립하고 시스템화해서 종합적으로 관리하고 변화하는 업무환경 및 공격기술에 실시간으로 대응할 수 있는 변화관리를 지속적으로 수행해야 회사 정보를 지킬 수 있다고 생각한다.

앞으로 어떤 부분에서 보안을 더 강화할 것인가?

온라인 고객의 정보를 보호하고 안정적으로 게임을 즐길 수 있도록 고객정보보호 및 게임보안 업무에 지속적으로 투자할 예정이다. 이러한 보안 업무를 체계적으로 진행하기 위해 넥슨 보안 아키텍처 및 관리체계를 수립하여 지속적인 변화관리를 수행할 예정이다.

또 보안 업무를 진행하다 보면 회사차원에서 해결할 수 없는 문제(DDoS, 해킹사고 법률 자문 등)들이 간혹 발생하기 마련이다. 이 때 국가 차원에서 이러한 문제점들에 지원을 신속히 진행할 수 있는 기관이 있었으면 좋겠다.

현재는 정보보호진흥원에서 일부 진행을 하고 있긴 하지만 이번에 타 기관과 통합한다는 이야기도 있고 국내 정보보호 기반이 점점 약해지지 않을까 하는 우려가 있다. 대한민국 보안을 진두지휘할 수 있는 강력한 기관을 기대한다.

<글 : 김태형 기자 (is21@boannews.com)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무전재-재배포금지>