회사 업무 또는 게임을 하거나, 은행이나 관공서에서 서비스를 받는 등 일상생활에서 시스템을 안전하게 사용할 수 있는 이유는 눈에 보이지 않아도 ‘보안(Security)’ 프로그램이 작동하기 때문이다.
사회가 점차 디지털화하면서 해킹이나 피싱, 개인정보 유출과 같은 사이버 범죄도 증가했다. 이에 디지털 세상에서의 ‘보안’은 필수불가결한 요소로 그 중요성이 나날이 커졌다. 엔씨소프트의 정보보호최고책임자(Chief Information, Security Officer, CISO) 신종회 상무를 만나, 보안의 최신 동향과 보안 인식에 대한 이야기를 나눴다.
엔씨소프트에 대한 간략한 소개 부탁드립니다.
엔씨소프트는 1997년에 설립해 1998년 ‘리니지(Lineage)’를 시작으로 인터넷 기반 온라인 게임을 대중화한 글로벌 게임 개발사입니다. 대표 IP로는 리니지 시리즈를 비롯해 아이온(AION), 블레이드&소울(Blade&Soul), 길드워(Guild Wars) 시리즈 등이 있습니다.
2000년부터 해외 시장을 개척한 엔씨소프트는 현재 전 세계 약 5천여 명의 임직원을 두고 있으며, 아시아, 북미, 유럽 등에 글로벌 네트워크를 확보해 나가고 있습니다.
지난해 1월에는 온·오프라인 팬덤 활동을 즐길 수 있는 올인원 K팝 글로벌 플랫폼 서비스 ‘유니버스’를 론칭했고, 같은 해 11월에는 글로벌 원빌드(Global One Build)로 개발한 ‘리니지W’를 통해 다른 국가의 유저들이 서로 소통하며 게임을 플레이할 수 있도록 서비스하고 있습니다.
지난 6월 엔씨소프트가 발간한 ‘ESG Playbook 2021’을 살펴보면 ‘디지털 책임’ 파트에서 정보보안과 개인정보보호에 관한 부분이 다뤄지고 있습니다. 이에 대해 설명해주세요.
엔씨소프트는 지난해부터 ‘ESG 플레이북’이라는 지속가능경영보고서를 발간하고 있는데요, 그 중 50% 이상이 개인정보 및 보안과 관련된 내용입니다.
제가 2019년 엔씨소프트 입사 당시, 엔씨소프트는 게임별로 다수의 통신망을 가지고 있었습니다. 때문에 개발 조직간 소통과 협업, 클라우드 등 최신 기술 접목 등에 불편함이 많았죠. 이에 업무망과 개발망을 통합한 통합망 환경을 만들어야 한다는 필요가 제기된 상황이었습니다.
그동안 통합망을 구축하기 어려웠던 이유는 바로 ‘보안’ 때문이었습니다. 통합망 환경에서 보안성이 기존의 망분리 환경처럼 유지할 수 있는가에 대한 의구심이 큰 상황이었죠. 이 문제를 해결하기 위해 새로운 사이버 보안 패러다임인 ‘제로트러스트’ 도입을 추진했습니다. 이 보안 모델에 대해서는 뒤에 다시 설명드리도록 하겠습니다.
엔씨소프트는 보안 조직과 기능 부분에서 산재된 보안 시스템을 하나의 정보보안센터로 모아, 게임기업에 특화한 정보보호관리체계를 구축하고, 현재 글로벌 자회사까지 포함한 엔씨 전반의 보안 조직 및 프로세스의 통합을 추진하고 있습니다. 정보보안센터 산하에 개인정보보호실, 보안정책실, 보안운영실, 보안개발실, 보안진단실을 두어 기능별 업무를 수행하며, 사내 유관 부서와 협업해 기업의 서비스와 정보 자산을 보호하고 있습니다.
또한, 정보보호 관련 주요 이슈에 대한 경영진 보고 및 의사결정 프로세스 운영으로 정보보호 거버넌스 활동을 수행합니다. 팬데믹 이후 외부 해킹 공격이 증가한 추세에 대응하기 위해 독립성을 갖는 ‘상시 취약점 점검 체계(Red Team)’를 구축하고, 24시간 365일 빈틈없는 보안을 위해 노력하고 있습니다.
아울러 일원화한 글로벌 보안점검 체계(Security Care Service) 운영으로, 국내·외 자회사의 정보보안 관리체계가 지속 유지·향상될 수 있도록 지원하고 있습니다.
그 결과, 글로벌 ESG 평가기관 ‘서스테이널리틱스(Sustainalytics)’가 2022년 3월 발표한 ‘ESG 리스크 평가(ESG Risk Rating)’에서 엔씨소프트의 개인정보보호 및 정보보안은 글로벌 상위 1%로 평가받고, 최상위 관리 체계를 보유하고 있다고 인정받았습니다.
재택 및 원격근무 환경이 증가하면서 보안을 더욱 신경 써야 하는 환경이 됐습니다. 향후 보안 서비스 및 시장의 트렌드를 짚는다면?