2008년 2월 28일 목요일

기사 스크랩 - "게임 보안 책임진다" 이니텍 백효성 팀장 (게임어바웃, 2006-10-17)

음... 직접 인터뷰 한것은 아닌데 덩달아 이름이 운운되어서 일단 스크랩 ^^;;;


홈 > 뉴스센터 > 취재/인터뷰
"게임 보안 책임진다" 이니텍 백효성 팀장
엔씨소프트의 OTP 도입 결정은 의외였다. A 은행의 B 상무는 자존심 상한다는 말까지
• 2006.10.17(화) 10:57이니텍은 1997년 6월, 일반 인터넷 이용자에게는 생소한 PKI(공개키기반구조) 정보 보안 사업으로 시작해 10년이라는 긴 시간동안 한 분야에서 매진한 보안 전문 중견 기업이다. 보안 업계에서는 비슷한 시기에 설립된 안철수연구소와 더불어 보안 1세대로 분류되며, 실력 또한 업계 관계자라면 누구나 고개를 끄덕일 정도로 높은 수준이다. 일반인들에게 널리 알려진 안철수연구소와 차이가 있다면, 이들은 개인이 아닌 기업 혹은 금융권을 타겟으로 하고 있다는 것이다.


이니텍은 요즘 엔씨소프트의 NC OTP를 개발한 기업으로 알려져 있다. 하지만 그 것외에는 그들에 대한 정보가 너무 부족하다. 이니텍은 일반인들이 한 번 쯤 들어봤을 만한 계열사를 갖고 있다. 전자지불결제 서비스를 제공하는 ′이니시스′가 바로 그 것이다. 또, 이니텍은 공인인증서(INISAFE)를 발급/관리하는 솔루션을 개발한 기업이며, 1,500만 인터넷 뱅킹 이용자 중 약 60%를 담당하고 있다.




이들이 게임 업계와 밀접한 관계를 맺게 된 것은 엔씨소프트의 OTP 도입부터다. OTP는 2005년 발생한 일련의 해킹 사고에 대한 보안 대책중 하나다. 이니텍 기술전략연구소 백효성 팀장은 2005년까지 게임 유저들에게 생소했던 OTP에 대해 "이미 2001년부터 금융권에서 필요성이 거론되어 왔던 보안 시스템이다"고 설명했다.



OTP의 안정성에 대한 물음에 그는 "OTP는 ′국가정보원′이 주관하고 ′국가보안기술연구소′가 지난해 부터 약 1년여간 전자정부구현을 위한 행정업무 등 전자화촉진에 관한 법률 시행령 제 34조 제 5항, 암호 모듈 시험 및 검증지침 규정에 의한 시험결과, 적합함을 검증 받았다"고 자신있게 얘기하며, 검증서를 보인다. 이어 그는 "우리가 검증받은 INISAFE 암호 모듈은 1~4등급 중 모든 항목에서 1등급을 받았다. 국가보안기술연구소는 이 모듈의 소스를 제공받아 1년여간 철저히 검증했다"고 말했다.

그렇다면, 보안 수준에 따른 등급은 어떻게 나뉠까. 금융감독원이 ′전자거래 안정성 강화 종합대책′으로 지난해 9월 공개한 자료에 따르면, 1등급 ′OTP발생기′, ′HSM 방식의 공인인증서+보안카드′, 2등급 ′보안카드+휴대폰SMS′, 3등급 ′보안카드′로 나뉜다. (※ HSM(Hardware Security Module) : 공인인증서 복사방지를 위해 사용하는 보안성이 강화된 스마트카드, USB 저장장치) 국내 게임사에서 보편적으로 사용되고 있는 SMS 인증 방식은 단일 시스템으로는 3등급 내 포함되지 않음을 알 수 있다.


백 팀장은 국내 게임사들의 보안에 대한 생각을 묻자 "최근 보안의 중요성에 대해 모두들 심각히 받아들이고 있지만, 아무래도 직접 경험이 없는 이들은 그렇지 않은 이들보다 쉽게 생각하는 듯 하다"며 아쉬운 표정을 짓는다. 이어 그는 "다행인 것은 엔씨소프트나 NHN게임즈과 같은 큰 기업이 보안에 대해 중요성을 느끼고 그것을 실천한다는 것이다"라고 말했다. (NHN게임즈는 오는 26일부터 OTP를 서비스할 계획이다)




또, 백 팀장은 "솔직히 엔씨소프트의 OTP 도입 결정은 의외였다. A 은행의 B 상무는 자존심 상한다는 말까지 했다. 그들은 금융권과 달리 강제성도 없으며, 모든 비용을 직접 부담하면서 가장 신속히 움직였기 때문이다"라고 말하며 "당초 계획대로라면 금융권 역시 올해 말까지 기업뱅킹 의무화에서 개인 뱅킹으로 OTP 이용 범위를 확대할 예정이었지만, 비용부담이나 기타 은행 내부 사정으로 인해 내년 말까지 미뤄졌다"고 말했다.


게임사들의 보안 수준은 어떨까. 백 팀장의 말에 따르면 엔씨소프트의 경우 은행권 보다 높은 수준이며, 은행권이 100점 만점에 80점이라면 엔씨소프트는 81~82점이라고 한다. 백 팀장의 이러한 평가는 엔씨소프트의 보안을 책임 지고 있는 김휘강 팀장에 기인한다. 김휘강 팀장은 KAIST시절 학교 해커 동아리 ′쿠스′ 회원으로 활동하다 지난 95년 ′포항공대 해킹사건′으로 전격 해체되면서 ′사이버카이스트′ 설립을 주도한 보안 1세대다.


끝으로 백 팀장은 보안 업계의 화두와 이제 막 보안에 눈을 뜨고 있는 게임사들을 위한 조언을 구하자, 다음과 같이 말했다.


"전 세계적인 보안 업계의 화두는 피싱을 효과적으로 대처하는 것이다. 국내/해외를 막론하고 알려지지 않은 피싱의 피해가 상당하며, 무엇보다 사용자의 세심한 주의가 필요한 공격 방법이다. 현재 피싱을 원척적으로 차단하는 방법은 없는 것과 같기 때문에 각별한 주의를 요구한다. 게임사는 이용객 중 피싱 공격의 피해자가 발생하지 않도록 기본적인 방어법에 대한 지침서를 제공할 필요가 있다"



참고 : 엔씨소프트가 제공 중인 피싱에 대한 설명
게임어바웃 김창욱(heywook) 기자 hey@