최중섭 네오위즈 보안실장 “게임사 보안, 금융권 수준 필요…CISO는 ‘지휘자’”
게임업계는 사이버공격자들의 주요 표적이 된 지 오래다. 전세계에 걸쳐 온라인 게임에 열광하는 수많은 이용자들이 있다.
게임은 기술 발전과 디바이스 사용 환경이 변화와 함께 다양화되고 있다. 모바일 게임, 클라우드 게임 등 여러 유형의 게임뿐 아니라 게임 수가 점점 더 많이 늘어나면서 저변이 계속 확대되고 있다. 이는 곧 사이버범죄자들의 먹잇감이 될만한 중요 자산들이 더욱 많아진다는 의미이기도 하다.
이용자 개인정보부터 아이템, 게임머니 등의 구매와 거래가 활발히 이뤄지기 때문이다.
그 점에서 온라인 게임 서비스는 금융 서비스에 버금가는 정보보안 수준이 요구되고 있다.
네오위즈 최고정보보호책임자(CISO)인 최중섭 보안실장은 “게임사의 보안은 서비스 자체, 게임 서비스 보안이 매우 중요하다. 금융권 수준은 돼야 한다”고 말했다.
최 실장은 20년 경력의 보안전문가다. 보안 인식과 투자는 미비했지만 대규모 보안사고가 터지기 시작하던 무렵이던 지난 2000년, 한국전산원과 대우통신을 거쳐 민간 사이버보안 업무를 담당하는 전문기관인 한국인터넷진흥원(KISA)에 입사했다. 만 12년을 KISA에서 근무하며 해킹 사고와 개인정보침해 사고 등 다양한 보안사고를 직접 경험했다.
이후 네오위즈홀딩스의 보안실장으로 자리를 옮겨 CISO 역할을 수행한 지도 8년이 됐다. 네오위즈와 플레이스튜디오, 에이블슈튜디오, 자회사 등을 포괄하는 전사 보안을 담당하고 있다.
로그인 어뷰징 공격 여전, 취약점 등 보안성 사전 검토체계 운영
최 실장은 게임 보안 이슈를 묻는 질문에 “주된 공격은 로그인 어뷰징”으로 “갑자기 이용자 아이템이 사라지는 일이 발생한다”고 설명했다. 회원가입을 해야 하는 유료서비스, 멤버십 기반 서비스가 여전히 많기 때문이란 게 그의 설명이다.
게임 이용자 로그인 정보를 훔치려는 시도는 오랫동안 계속돼오고 있다. 최근 전세계적으로 많은 게임사들이 받고 있는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격도 관련 유형이다. 공격자가 훔쳤거나 불법 취득한 다양한 사용자 계정 정보로 자동화 툴을 이용해 여러 웹사이트에 대입하고 로그인 검증과 액세스를 시도하는 공격 유형이다.
네오위즈는 해킹 공격에 의해 이용자들의 자산과 관련 피해가 발생하지 않도록 서버를 분리해서 관리하고 있다. 또 게임서비스 웹페이지를 변경하거나 다른 체계로 퍼블리싱할 때에는 모두 보안실의 검토를 거치도록 하는 체계도 운영하고 있다. 공격의 빌미를 줄 수 있는 취약점을 최대한 해결한 뒤 서비스를 제공하려고 노력하고 있는 것이다. “취약점을 확인해 개발자들에게 주면 개발자들도 수긍하고 수정을 잘해준다”고 최 실장은 전했다.
로그인 어뷰징 공격으로부터 보안대책을 수립하는 것은 이용자 고객정보를 보호하는 것과 밀접히 연관돼 있기도 하다.
네오위즈는 기존에는 피망 웹사이트 내에서 다양한 게임이 서비스 되던 방식이었지만 이제는 게임별로 별도의 서비스를 운영하고 있다. 모바일 게임의 경우엔 클라우드 서비스로 제공돼 개인정보가 저장되지 않고 과금체계도 클라우드 서비스 제공업체가 담당하고 있어 보안팀이 신경 써야 하는 부분이 적어졌다는 평가다.
데이터센터와 내부 업무환경(사무실) 보안은 일반 기업들과 비슷하게 운영된다. 침입공격과 내부정보유출을 막을 수 있고 침해사고에 대응할 수 있는 다양한 보안 솔루션들을 적용해 운영하고 있다. 보안팀이 운영하는 보안 장비와 솔루션으로 1차 대응을 하고 그 방어선을 넘어가는 공격들은 정보분석 등 연관된 팀들과 협업해 대응한다. 장비 등에서 나오는 정보와 운영자들의 노하우 종합적으로 적용된다.
‘모두가 참여하는 정보보안’ 중요, 주기·상시 교육훈련·이벤트 수행
사이버위협 트렌드가 계속 변화하고 있기 때문에 통제할 수 있는 기술적 대책뿐 아니라 공격의 주요 통로가 되는 이메일과 웹을 직접 사용하는 직원 정보보호 교육훈련을 정기적으로 수행하고 있다. 정보보호 이슈와 문제가 발생하는 상황을 피할 수 있는 방법도 수시로 공유하고 있다.
“차세대 방화벽, 지능형지속위협(APT) 메일 보안 솔루션, 위협 평판 시스템, 악성 URL 필터링·차단 시스템 등 보안정책과 기술로 외부에서 들어오는 위협은 웬만하면 막을 수 있지만 사람이 의도해 다운로드하거나 위험성이 있는 웹사이트에 접속하고 클릭하는 것은 통제가 어렵다. 악성 이메일을 보내 훈련을 하면서 클릭과 다운로드 비율이 크게 떨어지는 것을 볼 수 있다. 지속적인 훈련이 매우 중요하다.”
“모두가 참여하는 정보보안이 매우 중요하기 때문에 모든 직원이 참여할 수 있는 상시 이벤트와 캠페인도 기획하고 운영하고 있다. 보안과 관련해서는 아주 작은 일이라도 신고할 수 있도록 독려하고 그에 대한 포상도 수행한다. 최근에는 랜섬웨어 감염 위협 등에 대해 직원들에게 주의할 점을 많이 강조하고 있다.”
네오위즈는 현재 개인정보보호 강화를 위해 체계를 재정비하는데 주력하고 있다. 최 실장은 “팀장급 전문가를 외부에서 영입해 기존에 운영해온 개인정보보호체계를 리뷰하고 있고 정책을 수립하는 것부터 체계 전반을 리빌드(rebuild)하고 있다”고 설명했다. 내부체계를 잘 알고 있는 사람이 아닌 외부자의 눈으로 현재 체계를 진단해 제대로 개선해보자는 취지다.
CISO는 총괄 지휘자, 내외부와의 소통 중요
보안조직의 역할과 업무도 확대됐다. 그동안 네오위즈의 정보보안실은 서비스보안과 사내 정보보안 파트로 구성돼 주로 기술적 보안 위주의 업무를 담당해왔다. 이들 두 파트를 한 팀으로 합치는 한편, 개인정보보호 업무도 전담하고 있다. 이전에는 개인정보보호 업무는 법제협력실 산하 법무팀, 정책팀에서 담당하고 있어 협업체계로 일을 했다. 정보보안실 개편에 따라 개인정보보호 업무까지 맡게 되면서 최 실장은 개인정보보호책임자(CPO)까지 겸임하고 있다.
정보보안 전문가들은 침해사고대응 전문가, 컴플라이언스 전문가, 정보보호 기술 개발자·연구자 등 다양하다. 침해사고대응전문가는 악성코드 등의 위협과 침해 분석을 수행하고 공격자로부터 방어체계를 구축하는 역할을 하는 사람들이다. 컴플라이언스 전문가는 개인정보보호, 정보보호 관련 법제도를 잘 이해하고 이와 관련한 대응 정책과 조치를 수행하는 업무를 담당한다.
최 실장은 CISO의 역할로 “이렇게 다양한 분야의 전문가들을 모아 하나의 체계를 완성해 나가는 지휘자이자 연구를 총괄하는 지도교수같은 역할을 수행해야 한다. 기본적으로 정보보안 전문가는 연구자라고 할 수 있기 때문에 CISO가 침입과 위협 관련한 다양한 연구활동을 촉진하고 총괄할 수 있어야 하고, 적절한 방어체계를 갖추고 조직에 최적화된 방식으로 효과적으로 운영할 수 있는 체계를 만들어줘야 한다”고 강조했다.
또한 “CISO는 사내에서뿐 아니라 외부 유관기관, 다른 게임사 보안조직 담당자들과 소통하고 협력하는 역할도 잘해야 한다. 또 기업이 제공하는 서비스, IT 운영 방식도 잘 알고 있어야 한다”고 덧붙였다.
그러면서도 최 실장은 “무엇보다 정보보호체계 운영을 책임진다는 면에서 CISO는 정보보호 전문가여야 한다”며 “CISO를 선임하는데 있어서도 그 역할에 따라 기업 조직이 더욱 안전해지고, 또 비즈니스 성공을 뒷받침할 수 있다는 것을 고려해야 한다”고 견해를 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
