회사 업무 또는 게임을 하거나, 은행이나 관공서에서 서비스를 받는 등 일상생활에서 시스템을 안전하게 사용할 수 있는 이유는 눈에 보이지 않아도 ‘보안(Security)’ 프로그램이 작동하기 때문이다.
사회가 점차 디지털화하면서 해킹이나 피싱, 개인정보 유출과 같은 사이버 범죄도 증가했다. 이에 디지털 세상에서의 ‘보안’은 필수불가결한 요소로 그 중요성이 나날이 커졌다. 엔씨소프트의 정보보호최고책임자(Chief Information, Security Officer, CISO) 신종회 상무를 만나, 보안의 최신 동향과 보안 인식에 대한 이야기를 나눴다.
엔씨소프트에 대한 간략한 소개 부탁드립니다.
엔씨소프트는 1997년에 설립해 1998년 ‘리니지(Lineage)’를 시작으로 인터넷 기반 온라인 게임을 대중화한 글로벌 게임 개발사입니다. 대표 IP로는 리니지 시리즈를 비롯해 아이온(AION), 블레이드&소울(Blade&Soul), 길드워(Guild Wars) 시리즈 등이 있습니다.
2000년부터 해외 시장을 개척한 엔씨소프트는 현재 전 세계 약 5천여 명의 임직원을 두고 있으며, 아시아, 북미, 유럽 등에 글로벌 네트워크를 확보해 나가고 있습니다.
지난해 1월에는 온·오프라인 팬덤 활동을 즐길 수 있는 올인원 K팝 글로벌 플랫폼 서비스 ‘유니버스’를 론칭했고, 같은 해 11월에는 글로벌 원빌드(Global One Build)로 개발한 ‘리니지W’를 통해 다른 국가의 유저들이 서로 소통하며 게임을 플레이할 수 있도록 서비스하고 있습니다.
지난 6월 엔씨소프트가 발간한 ‘ESG Playbook 2021’을 살펴보면 ‘디지털 책임’ 파트에서 정보보안과 개인정보보호에 관한 부분이 다뤄지고 있습니다. 이에 대해 설명해주세요.
엔씨소프트는 지난해부터 ‘ESG 플레이북’이라는 지속가능경영보고서를 발간하고 있는데요, 그 중 50% 이상이 개인정보 및 보안과 관련된 내용입니다.
제가 2019년 엔씨소프트 입사 당시, 엔씨소프트는 게임별로 다수의 통신망을 가지고 있었습니다. 때문에 개발 조직간 소통과 협업, 클라우드 등 최신 기술 접목 등에 불편함이 많았죠. 이에 업무망과 개발망을 통합한 통합망 환경을 만들어야 한다는 필요가 제기된 상황이었습니다.
그동안 통합망을 구축하기 어려웠던 이유는 바로 ‘보안’ 때문이었습니다. 통합망 환경에서 보안성이 기존의 망분리 환경처럼 유지할 수 있는가에 대한 의구심이 큰 상황이었죠. 이 문제를 해결하기 위해 새로운 사이버 보안 패러다임인 ‘제로트러스트’ 도입을 추진했습니다. 이 보안 모델에 대해서는 뒤에 다시 설명드리도록 하겠습니다.
엔씨소프트는 보안 조직과 기능 부분에서 산재된 보안 시스템을 하나의 정보보안센터로 모아, 게임기업에 특화한 정보보호관리체계를 구축하고, 현재 글로벌 자회사까지 포함한 엔씨 전반의 보안 조직 및 프로세스의 통합을 추진하고 있습니다. 정보보안센터 산하에 개인정보보호실, 보안정책실, 보안운영실, 보안개발실, 보안진단실을 두어 기능별 업무를 수행하며, 사내 유관 부서와 협업해 기업의 서비스와 정보 자산을 보호하고 있습니다.
또한, 정보보호 관련 주요 이슈에 대한 경영진 보고 및 의사결정 프로세스 운영으로 정보보호 거버넌스 활동을 수행합니다. 팬데믹 이후 외부 해킹 공격이 증가한 추세에 대응하기 위해 독립성을 갖는 ‘상시 취약점 점검 체계(Red Team)’를 구축하고, 24시간 365일 빈틈없는 보안을 위해 노력하고 있습니다.
아울러 일원화한 글로벌 보안점검 체계(Security Care Service) 운영으로, 국내·외 자회사의 정보보안 관리체계가 지속 유지·향상될 수 있도록 지원하고 있습니다.
그 결과, 글로벌 ESG 평가기관 ‘서스테이널리틱스(Sustainalytics)’가 2022년 3월 발표한 ‘ESG 리스크 평가(ESG Risk Rating)’에서 엔씨소프트의 개인정보보호 및 정보보안은 글로벌 상위 1%로 평가받고, 최상위 관리 체계를 보유하고 있다고 인정받았습니다.
재택 및 원격근무 환경이 증가하면서 보안을 더욱 신경 써야 하는 환경이 됐습니다. 향후 보안 서비스 및 시장의 트렌드를 짚는다면?
보안 시장의 새로운 트렌드, 패러다임은 2019년부터 엔씨소프트에 적용한 보안 모델인 ‘제로 트러스트(Zero Trust)’라고 할 수 있습니다.
팬데믹의 영향으로 기업의 재택근무 등 원격근무 환경이 조성되면서, 외부와의 접점이 증가했습니다. 즉, 해커들에게도 외부에서 해킹을 시도할 수 있는 경로가 대폭 늘어난 셈이죠.
지금까지 대부분 기업과 기관들은 망분리 환경을 보안에 최적화된 환경으로 여겨왔습니다. 하지만 과거 대형카드사의 개인정보 유출, 금융 및 에너지 산업 관련 해킹, 국가 기반 시설 관리기관의 주요 정보 유출 등의 사고는 망분리가 잘 이뤄진 환경이었음에도 발생했습니다. 망분리만으로는 보안사고를 막을 수 없다는 교훈을 안겨준 사례죠.
또한, 기업의 전반적인 서비스 및 인프라가 클라우드나 모바일 기반으로 전환하면서 보안의 패러다임도 기존과 다른 방식이 필요해졌습니다.
이에 기본적으로 네트워크, 기기, 사용자, 서비스 등 모든 부분에서 신뢰도(Trust)를 항상 ‘0(제로, Zero)’로 두고 계속 검증해야 한다는 ‘제로 트러스트’ 개념이 새로운 패러다임으로 주목받기 시작했습니다. 2005년 처음 등장한 제로 트러스트는 쉽게 설명하자면 팬데믹에 대응한 ‘K-방역 체계’에 비유할 수 있습니다.
기존에는 해외입국자의 경우 여권과 비자만 있다면 주어진 기한 내 국내에 입국해 어디든 돌아다닐 수 있었습니다. 그러나 팬데믹 이후 상황이 달라졌습니다. 감염자가 입국하면 국내 보건 체계에 심각한 영향을 끼칠 수 있기 때문이죠.
이에 정부는 입국하는 사람의 출발 국가를 확인하고, 건강 상태 및 백신접종 여부 등 여러 가지 검증 프로세스를 두어 입국심사를 진행했습니다. 입국이 허용되더라도 동선을 지속적으로 체크해 의심 증상을 보이면 즉시 격리를 시행했죠. 특히, 감염 시 사망 위험도가 높은 고령자나 기저질환자 등을 고위험군으로 분류해 더욱 철저하게 관리하는 체계적인 시스템이 ‘K-방역 체계’였습니다.
제로 트러스트도 이와 매우 유사합니다. 노트북이나 모바일 등 기기의 보안상태를 체크하고, 사용자의 접속 위치와 일자, 시간 등이 적정한지를 모니터링해 접속을 허용합니다. 조건이 사전에 정의한 보안 정책에 부합하지 않으면 접속이 불가능하며, 허용된 접속일지라도 모든 행위와 동선을 모니터링합니다.
또한, 기존에는 업무 인트라넷에 아이디와 패스워드만 치면 모든 서비스를 이용할 수 있었지만, 제로 트러스트는 정보와 서비스의 유형에 따라 접근 가능한 영역을 구분합니다. 중요도가 높은 서비스 영역의 경우 고위험군으로 설정해 더욱 까다로운 접근 조건을 요구합니다. 즉, ‘사이버 방역 체계’를 구축하는 것과 같습니다.
엔씨소프트는 2019년부터 제로 트러스트를 적용했는데, 이후 공교롭게도 코로나19 팬데믹이 발생했습니다. 외부접근 환경에서도 안전하게 업무를 수행할 수 있는 보안체계를 이미 구축하고 있었기 때문에 빠르게 원격 및 재택근무로 전환할 수 있었고, 2년여의 전사 재택근무를 큰 사고 없이 마무리할 수 있었습니다.
과도한 망분리 환경을 적정한 수준으로 통합하기 위해서는 보안성 강화가 선결조건이라 할 수 있습니다. 이를 위한 최적의 보안모델인 제로 트러스트를 도입한 엔씨소프트는 95%가 넘는 직원의 긍정적인 평가와, IT 중복투자 비용의 45%를 절감하는 효과를 거두기도 했습니다.
보안의 중요성은 커지고 있지만, 그에 비해 보안인식은 아직 높지 않은 수준입니다. IT 기업인만큼 보안에 대한 인식 교육을 진행하고 있다고 들었는데요. 어떤 교육 방법이 가장 효과적이었나요?
과거 보안 교육은 굉장히 딱딱하거나 부정적인 이미지가 강했습니다. 이 이미지로는 보안인식 제고가 어렵다고 판단해 ‘펀 앤 프렌들리(Fun & Friendly)’ 교육 전략을 세웠습니다.
MZ세대 직원이 다수인 게임회사의 분위기에 맞게 인기 방송들을 패러디해 보안이 낯선 사람들도 이해하기 쉽도록 교육 콘텐츠를 제작했습니다. 그 결과, 지난해 ‘전사 임직원 보안교육’에는 총 4천539명이 참가해 수료율 100%를 달성했습니다. 임직원들의 교육 만족도 역시 약 93% 수준으로 높은 만족도를 나타냈습니다.
이 밖에도 매월 웹툰, 카드뉴스 등 다양한 형태로 보안 캠페인을 진행하며, 지속적으로 임직원의 보안인식을 높이기 위해 노력하고 있습니다.
현재 한국의 보안 기술은 어느 단계까지 올라왔다고 생각하시는지요?
20여 년을 보안 산업에 몸을 담아오면서 바라본 한국의 보안 기술은 네트워크단이나 서버단의 보안 기술력은 국제적인 수준으로 많이 올라와 있다고 생각합니다. 그러나 아직 아쉬운 건 클라우드 보안이나 디바이스, 네트워크, 서비스에 사용하는 보안 기술을 통합해 의미 있는 인사이트를 뽑아내는 분석 기술은 수준을 더 끌어올릴 필요가 있다고 봅니다.
또한, 보안 솔루션 기술 제고 노력과 함께 기업의 서비스 연속성과 유지보수 안정성도 잘 관리해야 합니다. 수요자 입장에서 솔루션 도입 후 유지보수 서비스가 원활하지 않으면 애당초 도입하지 않는 것이 낫다고 판단하기 때문입니다.
엔씨소프트의 보안 비전은 무엇입니까?
엔씨소프트가 현재 사업 기준으로는 게임, 엔터테인먼트 중심이다 보니 보안 사업을 따로 진행하지는 않지만, 새로운 보안 패러다임인 제로 트러스트를 성공적으로 도입해 관련 산업에 모범 사례가 되었으면 하는 바람이 있습니다.
또한, 내년부터는 엔씨소프트의 해외 지사의 보안까지도 하나의 원-팀(One-Team) 체계로 운영할 계획입니다. 보안의 가치를 높인 글로벌 엔씨소프트로 도약하는 것이 우리들의 비전이고, 현재 그 여정을 걷고 있습니다.
20여 년간 보안에 몸담아온 선배로서, 보안 후배들에게 하고 싶은 말씀이 있다면?
과거 보안 업종은 ‘3D 직종’이라는 이야기가 많았습니다. 해킹에 대응하기 위해 밤도 많이 새야 하고, 군인들이 철책을 지키는 것처럼 평소에는 잘 모르지만, 사고가 나면 왜 제대로 지키지 못했는지 질책받는 직종이기 때문이죠. 이런 상황에 지쳐서 보안 분야를 떠나는 사람들도 많습니다.
그러나 환경이 어렵다는 것을 토로하기 이전에 내가 과연 어떤 보안의 가치를 보여주고 있는지를 늘 되돌아보아야 한다고 생각합니다.
제가 좋아하는 격언 중 하나가 윈스턴 처칠의 ‘비관론자는 항상 기회에서 어려움을 찾고, 낙관론자는 어려움에서 기회를 찾는다’ 입니다.
보안이라는 어려운 환경에서도 기회를 찾을 수 있어야 한다고 생각합니다. 급속한 IT환경 변화에 발빠르게 대응해 제로트러스트 도입 모범사례 기업이 되고, ‘펀&프렌들리’ 전략을 통해 이해하기 쉽고 공감할 수 있는 보안을 만들어 가는 그런 기회 말이죠.
저는 이를 위해 후배들이 보안 전문성이라는 ‘하드 스킬’과 더불어 커뮤니케이션 능력, 문제해결 능력, 협업 능력, 공감 능력과 같은 ‘소프트 스킬’ 배양에도 힘써 주었으면 합니다.
어떤 직종에서 일하느냐보다 당신이 그 직종에서 어떤 가치를 만들어 나가고 있는가가 더 중요합니다. 선한 영향력으로 보안이라는 기회의 땅에서 더욱 큰 가치를 만들 줄 아는 후배들이 많이 나왔으면 좋겠습니다.