MENU
CISO News HOME > CISO News > 회원사 소식

회원사 소식


[콘텐츠칼럼]정보보안, 그 무엇도 검증 전에는 신뢰하지 않는다 2020.03.03  

[콘텐츠칼럼]정보보안, 그 무엇도 검증 전에는 신뢰하지 않는다


게임 시장은 2017년을 기점으로 모바일 게임이 온라인 PC게임을 앞지르기 시작했다. 평균 5년 이상이 걸리던 온라인 PC게임 개발 기간이 모바일 게임에서는 1~2년으로 단축되면서 빠른 소통과 협업, 정보 공유가 가능한 개발 환경이 계속해서 요구되고 있다.

2005년 엔씨소프트는 게임업계 최초로 보안 대표 정책 가운데 하나인 망 분리를 적용했다. PC게임, 모바일게임, 플랫폼 개발, 인터넷망 등 복수 망을 독립된 형태로 운영해 왔다. 개발자에게 PC 3~4대를 자리에 두고 작은 용량의 파일도 망 간 전송을 위해 몇 단계 복잡한 승인 프로세스를 거치도록 했다. 메일이나 메신저 등 협업 도구도 망별로 운영됨에 따라 기본 커뮤니케이션마저 쉽지 않았다. 망 분리는 보안 입장에서 리스크를 줄이는 좋은 통제 도구다. 그러나 업무 효율을 저해하고 소통과 협업을 방해했다.

클라우드와 개인 모바일 기기 이용이 증가함에 따라 네트워크 경계형 보안 모델로는 더이상 비즈니스 시대가 요구하는 정보기술(IT) 환경 통제에 한계가 있음을 인지했다. 시대 변화에 맞는 새로운 보안 모델을 찾기 시작했고, 글로벌 보안 트랜드로 급부상하고 있는 신뢰 기반형 보안 모델에 관심을 두게 됐다.

기존 네트워크 경계형 보안 환경은 외부 침입자가 내부 접근 권한을 획득하게 되면 기업 내 중요한 정보를 쉽게 가져갈 수 있는 구조다. 반면에 신뢰 기반형 보안 모델은 '그 무엇도 검증 전에는 신뢰해선 안 된다'라는 개념 아래 사용자 다중인증(MFA)과 기기보안성 검증, 서비스별 권한 관리, 모든 트래픽 모니터링 등을 적용해 안전성을 확보한다.

2019년 엔씨소프트는 클라우드 기반 스마트워크 환경 구축과 더불어 분리돼 있던 사내 망을 신뢰 기반 모델에 기반, 하나로 통합했다. 사우에게 친숙한 보안 모델로 다가가기 위해 엔씨소프트 야구단과 동일한 이름인 다이노스(Di-NOSE)라 명명했다.

다이노스 1.0 체계에 임직원 95%가 호응했다. 높은 업무 만족도를 나타냈다. 비관리 영역에 있던 클라우드와 개인 모바일 기기(BYOD)에 대한 보안 통제도 가능하게 됐다. 비용면에서도 IT 중복 투자가 감소, 45%의 비용 절감이 가능할 것으로 예상된다.

통합된 개발 환경에서의 도전 과제는 보안 문화 형성이었다. IBM 시큐리티 연구 결과에 따르면 기업 보안 위협의 60%는 내부에서 기인한다. 의도된 정보 유출, 모바일 기기 분실, 부적절한 IT 리소스 사용, 임직원 실수와 같이 의도하지 않은 정보 유출로 발생하는 보안 위협은 기업에 큰 피해를 낳을 수 있다.

엔씨소프트는 게임 개발자가 전 직원의 약 70%를 차지하는 개발자 중심 회사로, 게임회사 특유의 개방 사고방식 기업이다. 자유로운 정보 공유 환경이 조성되면 언제든 임직원이 내부 보안 위협 요소로 돌변할 수 있다.

보안 리스크는 기술 차원의 해결도 중요하지만 무엇보다 일상에서의 보안문화 형성이 중요하다. 임직원의 보안 인식 제고를 위해 펀앤드프랜들리 전략을 고안했다.

매년 진행되는 전사 정보보안 교육을 강의식이 아닌 젊고 활기찬 사우 눈높이 맞는 연재식 보안 웹드라마 콘텐츠로 제작했다.

보안캠페인 콘텐츠 제목을 '랜섬웨어 감염 주의'라고 표현하기보다는 '랜섬마왕의 습격'과 같이 더 친근한 표현으로 쉽게 이해하고 다가갈 수 있도록 했다. 여기에 엔씨소프트 스푼즈 캐릭터와 NC 야구단을 보안 콘텐츠 제작에 활용했다.

그 결과 전사 보안 교육 수료율 99.2%를 기록했다. 교육 만족도는 90%에 달했다. 보안 캠페인 콘텐츠가 사내 인기 게시물 톱3에 오를 정도로 차별화된 반응을 얻을 수 있었다. 전사 보안 모의훈련 시 의심 악성메일 신고가 이전 대비 두 배 이상 증가했다.

흔히 말하는 보안을 '잘'한다는 것은 무엇일까. 기술상으로도 보안사고를 잘 막아야 하겠지만 일상 속에 보안 문화가 자연스럽게 형성되고 기존 보안 환경에 대한 끊임없는 의문을 품으며 이에 그치지 않고 사우 관점에서 보안 이슈를 생각해서 문제를 해결해 나가는 도전 과정, 이것이 보안을 잘하는 것 아닐까 생각해 본다.

신종회 엔씨소프트 정보보안센터장 jshin@ncsoft.com




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침