| <편집자주> SK텔레콤의 유심 정보 유출 사건으로 보안 이슈에 대한 경각심이 커지고 있다. FETV에서는 통신사 뿐만이 아니라 수많은 개인정보를 보유하고 있는 게임사와 네이버·카카오와 같은 IT 기업들의 정보보호 및 보안체계에 대해 살펴보고자 한다. |
[FETV=신동현 기자] 넷마블은 2020년부터 2023년까지 4년간 꾸준히 정보보호 및 보안체계를 정비했다. 2020년에는 정보보안 교육과 게임 보안 모듈 개발, 개인정보 보호 체계 정비를 시작으로 정보보호운영위원회를 운영하며 정보보호 거버넌스 체제를 구축했다. 이후 국제적 보안 인증을 취득하며 보안 체계를 글로벌 수준으로 확장했다.
넷마블은 초기에 보안 체계 운영과 보안 인식 제고에 중점을 두었다. 2021년에 발간한 ESG 보고서에 따르면 넷마블은 내부적으로 직원들을 대상으로 정기적인 정보보안 교육을 실시했다. 특히 악성메일 예방 교육과 모의훈련을 통해 구성원들의 보안 인식을 높였으며 피싱메일 구별법을 교육했다.
기술적으로는 외부 공격을 차단하기 위해 IDS(침입 탐지 시스템)와 웹 방화벽을 활용했다. 클라우드 환경에서는 AWS(아마존 웹 서비스)와 GCP(구글 클라우드 플랫폼)를 통해 글로벌 게임 서비스의 보안을 강화했다. 게임 보안 모듈을 자체 개발해 외부 공격에 대응하고 통신 암호화를 적용했다.
개인정보 보호 체계도 정비됐다. 넷마블은 사용자 개인정보 유출 사고 발생 시 관계 법령에 따른 손해 배상 책임을 명시하고 사용자 불만 접수 및 피해 구제 절차를 운영했다. 개인정보 보호 책임자 및 전담 부서를 지정하여 개인정보 보호를 강화했고 사용자들이 개인정보 관련 문의나 피해 구제를 요청할 수 있는 체계를 마련했다.
2021년부터는 KISA에 정보보호활동 공시를 시작했다. 2022년 KISA에 공시된 넷마블의 2021년 정보보호활동 보고서에 따르면 넷마블은 정보기술 부문에 1405억원, 정보보호 부문에 73억원을 투자했다.
정보보호 전담 인력은 약 34명으로 이 중 내부 인력은 30명, 외주 인력은 4명으로 구성됐다. CISO(정보보호 최고책임자)와 CPO(개인정보보호책임자)는 각각 보안실장과 기술전략 담당 부사장이 맡아 보안 관리의 독립성과 전문성을 확보했다.
정보보호 관리 체제도 더 체계화했다. 넷마블은 일반보안 업무지침, 개인정보 보호지침, 정보시스템 보안지침, 위치정보 보호지침 등 4개의 지침을 제작했다. 또 정보자산 위험관리절차서, 응용프로그램 보안절차서, 비상상황 대응절차서 등 3개의 절차서를 통해 체계적인 보안 위협 대응 체제를 마련했다.
SOC(Security Operation Center, 보안 관제 센터)와 CERT(Computer Emergency Response Team, 컴퓨터 긴급 대응 팀)를 운영해 365일 24시간 실시간으로 보안 위협을 모니터링하는 체계를 구축했다. SOC는 외부로부터의 침입 시도를 탐지하고 CERT는 침해 사고 발생 시 신속히 대응해 피해를 최소화할 수 있는 보안 활동 체제다.
개인정보 보호체계도 더 강화했다. 개인정보 보호 책임자(CPO)와 개인정보 보호팀이 정책 수립과 운영을 전담하며 정기적인 정보보호 협의회를 운영했다. 개인정보 영향평가 프로세스를 도입해 신규 서비스 개발 단계에서 개인정보 보호를 사전에 검토했다. 게임 콘텐츠에 대한 보안 점검, 상시 모의해킹 과정을 도입해 게임 내 보안도 강화했다.
2022년에는 정보기술 부문에 1522억원을 투자하며 투자 규모를 확대했으나 정보보호 부문 투자액은 65억원, 전담 인력도 32명으로 줄었다. 정보보호 투자금액과 전담인력이 줄었지만 정보보호 최고책임자(CISO)를 중심으로 정보보호위원회를 운영하며 정보보호 거버넌스를 강화했다. CISO는 정보보호위원회를 통해 주요 보안 정책과 침해사고 대응을 논의했다. CISO는 보안실장을 겸하며 정보보호 정책 수립과 운영을 총괄했다.
이때 넷마블은 개인정보보호법, GDPR(유럽 일반 개인정보 보호법), CCPA(미국 캘리포니아 소비자 프라이버시법) 등 개인정보 보호 법규 운영 범위를 확대했다.
2023년 넷마블은 글로벌 보안 인증을 추가로 획득하며 국제적인 개인정보 보호 수준을 강화했다. 정보기술과 정보보호 부문 투자액이 각각 1490억원, 52억원으로 줄었지만 정보보호 전담 인력은 37명으로 늘었다.
이 시기 넷마블은 APEC CBPR(아시아태평양 경제협력체 개인정보보호 인증)을 획득하며 글로벌 개인정보 보호 수준을 공인받았다. 또 ISO/IEC 27701 (개인정보보호 경영시스템), ISO/IEC 27017 (클라우드 보안), ISO/IEC 27018 (클라우드 개인정보보호) 인증도 추가로 취득했다.
내부적으로는 전사 정보유출 예방 보안 교육, 임직원 개인정보 보호 법정 교육, 정보보호 인식 제고 캠페인을 격월 주기로 운영하며 개인정보 보호 릴레이 세미나를 통해 최신 개인정보 보호 이슈와 대응 방안을 공유했다.
이용자 대상 개인정보 보호 인식 제고 활동으로 게임 개인정보 보호 퀴즈 이벤트를 개최했고 6753명의 유저가 참여하면서 개인정보 보호에 대한 인식 확대에도 나섰다.
넷마블 관계자는 "넷마블은 사이버 해킹과 공격에 대응하기 위한 사전 예방 활동과 사후 대응 프로세스를 갖추고 있으며 정보보호 관리 프로세스의 정상 이행을 위해 내부 및 외부 감사를 연 1회 이상 실시하고 있다"며 "개인정보 유출 사고 발생 시 신속 대응 TF를 통해 피해를 최소화하고 24시간 365일 보안 관제 시스템을 통해 실시간으로 보안 위협을 모니터링하며 대응하고 있다"고 말했다.
