NC

2000년대 초반을 기점으로 초고속 정보통신망이 구축됐다. 이런 인프라가 구축되면 다음에 어떤 세상이 올지 상상해봤다. 고속도로가 만들어지면 차가 빠르게 달릴 수 있는 대신 늘어나는 교통사고를 방지하고 관리하는 기능의 중요성이 높아지지 않나. 정보통신망 또한 사이버 세상의 역기능을 관리하는 보안 기능의 중요성이 높아지겠다고 생각했다. 이에 국가 보안 정책을 담당하는 정부 연구기관으로 이직하며 보안 담당자로 커리어를 시작했다.

마이크로소프트 코리아, 아마존 웹 서비스 등 여러 글로벌 기업에서 10여 년간 보안 책임자로 근무했다. 주로 기업과 정부를 대상으로 업무를 수행했는데, 보다 범위가 넓은 고객을 대상으로 보안 체계를 구축해보고 싶었다. 마침 엔씨에서 정보보호 총괄 책임자를 채용한다는 소식을 들었다. 당시 엔씨는 글로벌 시장으로 확대하기 위해 준비하고 있었다. 글로벌 기업에서 쌓은 경험으로 회사의 도전에 기여할 수 있겠다고 생각해 합류를 결정했다.

임직원과 고객의 개인정보를 보호하는 업무부터 사내 보안 교육 기획, 보안 정책 수립, 게임 보안 솔루션 개발, 보안 모니터링 활동 등 엔씨의 서비스 및 인프라에서 정보보안과 관련된 모든 업무를 총괄한다.

2년 전만 해도 개인정보보호 조직과 게임 보안을 담당하는 조직이 사내에 흩어져 있었다. 업무가 유사한 조직끼리 유기적으로 협력하는 체계를 구축해야겠다는 필요성을 느껴 2022년 1월에 조직 개편을 추진했다. 개인정보보호실, 보안정책실, 보안운영실, 보안개발실, 보안진단실 등 5개 조직을 정보보안센터 산하로 편성했다. 이를 통해 비효율적인 업무 프로세스를 개선하고 조직 간의 시너지를 높일 수 있었다. 보안 업무를 수행하는 조직이 모여 게임 서비스에 특화된 엔씨만의 정보보호 관리 체계를 갖추게 됐다.

스텔스(stealth) 보안이라는 말이 있다. 임직원이나 고객은 보안 시스템의 존재를 잘 느끼지 못하지만 내부에서 보안 기능이 빈틈없이 작동하는 것을 의미한다. 기업 차원에서 보안을 강화하는 것도 중요하지만 임직원에게 불필요한 업무가 가중되어서는 안 된다. 정보보안센터에서는 보안 체계를 꾸준히 강화하면서 임직원이 느끼는 불편함을 없애는 데 심혈을 기울이고 있다. 엔씨만의 기술력이 있기에 가능한 부분이다.

사전에 예방책을 마련하는 것이 실제로 사고가 발생한 후 대처하는 것과 비교해 ‘60배’ 정도 비용적으로 이득이라는 IBM의 연구 결과가 있다. 보안의 중요성이 드러나는 지점이다. 그 연장선에서 작년에는 전사 차원의 ‘보안 진단 프로세스’를 론칭했다. 신규 서비스를 출시하기 이전에 보안성을 검토해 위협이 될 수 있는 요소를 제거하고, 서비스 출시 후에도 취약점을 상시적으로 점검하는 체계다. 이러한 노력을 인정받아 지난해 각종 ESG평가에서 높은 점수를 받았다. 특히 ‘서스테이널리틱스(Sustainalytics)’가 발표한 ESG 리스크 평가에서는 엔씨의 개인정보보호 및 정보보안 관리 능력이 높이 평가받아, 글로벌 소프트웨어 및 서비스 산업군 상위 1%에 해당하는 점수를 획득했다.

게임에는 핵(hack), 봇(bot) 등 플레이어의 즐거움을 방해하는 치팅 프로그램이 있다. 이러한 프로그램이 확산되지 못하도록 관리하는 업무가 큰 비중을 차지한다. 기존에는 상용화된 솔루션을 사용했지만 지난해 정보보안센터 산하 보안개발실에서 안티 치트 솔루션을 자체 개발했다. 현재 각 IP들에 순차적으로 적용하고 있다.

또 엔씨는 수많은 플레이어에게 서비스를 제공하는 B2C 기업이다. 고객층이 불특정하고 넓기 때문에 개인정보보호에도 신중을 기하고 있다. 개인정보 유출은 회사의 평판 및 비즈니스와 직결되는 문제이기에 보다 세심하게 개인정보보호 체계를 구축, 관리하고 있다.

안전한 서비스 환경을 구축하는 일은 비즈니스를 넘어 IT 기업이 수행해야 하는 사회적 책임이다. 앞서 언급한 사례 외에도 임직원의 보안 인식을 제고하기 위해 매년 실시하는 보안 교육과 국내외 9개 자회사의 보안 수준을 점검하는 글로벌 시큐리티 케어 서비스를 마련한 일 등이 높은 평가를 받은 배경이다. 또 여타 기업보다 선제적으로 최신 보안 기술 트렌드인 제로 트러스트 모델을 도입한 것 또한 긍정적인 요인으로 작용했다고 생각한다.

기존의 보안 교육은 위험성을 경고하거나 임직원이 지켜야 할 수칙을 딱딱하게 설명하는 형식이 대다수였다. 이러한 방식으로는 임직원들의 보안 인식을 제고하기가 어렵다고 판단했다. 그래서 ‘펀 앤드 프렌들리(Fun and Friendly)’ 전략을 세웠다. 인기 콘텐츠를 패러디하거나 드라마타이즈로 영상 콘텐츠를 제작했더니 반응이 좋았다. 2021년에는 4,500명이 넘는 직원이 단 한 명도 예외 없이 100% 보안 교육을 수료했고 만족도도 93% 이상을 기록했다. 우리 센터에서는 영상뿐 아니라 웹툰, 카드 뉴스처럼 임직원에게 친근하게 다가갈 수 있는 방식으로 보안 캠페인을 진행하고 있다. 향후 보안 교육도 이러한 방향으로 운영할 계획이다.

업계가 주목하는 최신 글로벌 보안 기술 트렌드로, 언제나 신뢰도를 ‘0(제로)’에 둔다는 의미다. 기존의 보안 모델에서는 한 번 사내 망에 들어오는 데 성공하면 우리 편으로 간주되어 모든 권한을 갖게 된다. 그래서 해커는 임직원의 아이디와 패스워드를 훔쳐내는 데 집중한다. 실제로 작년에 많은 IT 기업이 이와 같은 해킹 방식으로 보안 위험에 노출되었다.

반면 제로 트러스트는 네트워크와 서비스, 디바이스, 사용자 등 모든 부분의 신뢰도를 ‘0’에 놓고 지속적으로 보안을 검증하는 패러다임이다. 우리나라의 코로나 방역 체계와 비슷하다. 사내 망에 들어오는 순간 검증이 끝나는 것이 아니라 동선을 끊임없이 체크하고, 이상 행위를 탐지하면 격리 조치를 시행한다. 모든 행위를 모니터링하기 때문에 보안 사고가 발생하더라도 책임 소재를 파악하고 빠르게 대응 조치를 취할 수 있다.

사내 망을 통합하면서 제로 트러스트 모델을 도입하기 시작했다. 내가 회사에 합류했을 때 엔씨는 개발망과 업무망을 분리해 사용하고 있었다. 망 분리 환경은 보안성이 높지만 조직 간에 원활하게 협업하기 어렵고, 클라우드 등 최신 기술을 접목하기 힘들다는 단점이 있다. 이러한 불편을 개선하기 위해서 망을 통합해야 한다는 필요성이 꾸준히 제기되어왔다. 하지만 망을 통합하면서 높은 보안성을 유지하는 것은 기존 보안 모델로는 해결할 수 없는 과제였다. 이에 제로 트러스트 모델로 보안 패러다임을 전환하여 대대적인 망 통합 작업을 시작했다. 그 결과 임직원들의 업무 만족도가 높아졌다. 사내 설문 조사에서 전사 직원 중 95%가 망 통합을 긍정적으로 평가했다.

또 코로나 팬데믹으로 촉발된 근무 환경 변화에도 효과적으로 대응할 수 있었다. 엔씨는 2020년부터 전사 차원의 재택근무를 실시했는데, 이는 해킹을 시도할 수 있는 외부 접점이 늘어난다는 의미여서 보안에 대한 우려가 높았다. 하지만 다행히도 엔씨는 제로 트러스트의 기본적 인프라를 갖춘 상태였기 때문에 빠르게 재택근무로 전환할 수 있었고, 2년여의 기간 동안 큰 보안 사고 없이 무사히 재택근무를 종료할 수 있었다. 이런 부분이 외부에서 인상적인 사례로 조명되기도 했다.

제로 트러스트는 지금도 진행 중인 하나의 여정이다. 1단계에 분리된 망을 통합하고 코로나 팬데믹에 대응하여 보안 환경을 구축했다면, 그다음 단계로 일종의 ‘정보 등급 체계’를 만드는 중이다. 현재 회사 안에 있는 정보들의 중요도가 분류되지 않아 모든 정보와 자산에 획일적인 보안 체계가 적용되고 있다. 예를 들면 사내식당의 점심 메뉴와 게임 개발 서버에 동일한 보안 체계를 적용하고 있는 셈이다.

이에 우리 센터에서는 4단계의 등급 체계를 마련해, 보안의 허들이 낮아도 되는 곳에는 규제를 완화하고 좀 더 면밀한 관리가 필요한 정보와 자산에는 규제를 강화하려 한다. 한마디로 정보마다 등급을 매겨 각기 다른 수준의 보안 체계를 적용하는 것이다. 그렇게 된다면 상대적으로 보안 수준이 낮아서 그동안 협업하지 못했던 자회사, 서드 파티와도 원활한 협업 환경을 구축할 수 있을 것이다.

결과와 상관없이 이 일을 통해 ‘무엇을 배웠는지’에 집중하는 편이다. 모든 일은 끊임없는 개선의 연속이다. 자동차를 예로 들면, 지금 우리에게 큰 만족을 주는 최신형 자동차도 5~10년 뒤에는 편의성을 개선하고 또 개선해 더 높은 만족도를 제공하는 자동차들이 출시되지 않나.

정보보안도 보완이 필요한 부분을 끊임없이 검토하고 지속적으로 개선하는 과정이다. 일의 결과에 일희일비하기보다 매 순간 얻은 교훈을 바탕으로 더 나은 서비스, 보안 환경을 구축하려 노력한다.

어려움이 발생한 ‘진짜 원인’을 파악하려고 노력하는 편이다. 단기간에는 문제가 해결된 것처럼 보일 수 있지만 근본적인 원인이 해결되지 않으면 비슷한 문제가 계속 발생하기 때문이다.

이전에 보안 관제 업무를 수행할 당시 원하는 수준의 성과가 나오지 않아 고민한 때가 있었다. 기술적으로 다양한 해결책을 적용해봤지만 효과가 없었다. 핵심 원인을 자세히 들여다보니 인적 차원의 문제임을 알게 됐고, 전문성을 갖춘 리더를 채용하니 성과가 개선되었다. 기술적인 부분만 신경 썼다면 끝내 문제를 해결하지 못했을 것이다. 시간이 걸리더라도 근본적인 원인을 파악하는 것이 중요하다고 느꼈다.

첫 번째는 자율적인 문화다. 누가 시켜서 하는 일이 아니라, 각자 맡은 분야에서 스스로 업무를 수행하고 도전하는 문화를 만들어가려 한다.

또 직원 모두가 보안 분야의 전문가가 되길 바란다. 그러기 위해서는 한 가지 역할에만 매몰되기보다는 보안이라는 넓은 ‘숲’을 볼 수 있어야 한다. 센터장으로서 내 역할은 임직원의 성장을 위해 숲을 조성하는 일이다. 일례로 센터에 직무 순환제도를 마련했다. 한 직무에서 3년 이상 근무한 직원은 본인이 희망할 경우 다른 직무로 자유롭게 변경할 수 있도록 내부 룰을 만들었다. 직원들이 보안이라는 숲에서 시야를 넓히고 자신만의 커리어를 개척할 수 있도록 지원을 아끼지 않을 것이다.

게임업계의 비즈니스 환경이 나날이 치열해지고 있다. 기업의 생존을 위해서 글로벌 시장으로의 진출과 오픈 이노베이션은 피할 수 없는 흐름이 됐다. 엔씨도 <리니지W> 론칭을 기점으로 글로벌 무대 도전을 본격화했다. 여기에 발맞춰 안전하고 신뢰할 수 있는 보안 체계를 구축하고, 해외 지사를 포함한 여러 관계사와 원활히 협업할 수 있는 환경을 마련하는 것이 가장 큰 목표다.

동시에, 앞서 말한 것처럼 이렇게 강화된 보안이 불편함으로 이어져서는 안 될 것이다. 견고함을 높이되 임직원과 고객의 편의성을 해치지 않는 엔씨만의 보안 체계를 구축하는 데 앞장서고 싶다.