각 분야별 보안 담당자 6인이 말하는 보안 이슈-[온라인게임]NC소프트
2008-09-16
[창간 10주년 기획 특집]
사용자 불편 최소화와 개인정보보호가 최우선
보안기업, 기술 개발과 안정된 보안 서비스 제공해야
최소화하는 방향으로 계속 업그레이드를 계획하고 있다“
<김휘강 NC소프트 정보보안실 실장>
현재 사내 최대 보안 이슈는 무엇이며이를 어떻게 해결하고 있는가?
기술적인 보안이 어느 정도 달성되어 비인가 외부자로부터의 침입에 대한 방어력이 갖 추어진 여타 기업들과 마찬가지로 내부통제나 데이터 보안에 관심을 많이 가지고 투자 를 해나가고 있다.
특히 회계법인들에서 주로 하는 전통적인 전산 감사시 체크하는 내부통제 방식으로는 그저 점검에 그칠 수 있어서 게임개발 회사에 적합한 통제 방법론 개발을 진행하고 있 고 이동식 장치(USB, 노트북, CD/DVD RW 등) 통제와 정보유출 모니터링 시스템을 구축해 운영하고 있다.
사내에 올해 강화·보완된 보안시스템은 무엇인가?
E-mail, FTP, Messenger, 웹 데이터의 모니터링은 2004년부터 운영하고 있는데 작 년부터는 이동식 장치 통제 시스템을 도입, 올해부터 적극적으로 보안을 강화해서 운영 하고 있다.
최근 발생한 보안 사고와 관련해서사내 보안정책의 변화는?
보안사고가 발생하지는 않아서 보안정책 기조는 예전의 정책을 계속 보완·유지해 나가 고 있다. 다만 최근에 발생한 국내 대형 온라인 경매 사이트나 포털 사이트 등에서 개 인정보가 유출됐던 사고가 우리 고객들의 피해로 이어지지 않도록 특히 만전을 기하고 있다. 이는 대부분의 고객들이 온라인 쇼핑몰, 포털 사이트, 온라인 게임 등의 사이트 에서 동일한 아이디와 패스워드를 사용하고 있다는 점에서 각별히 신경을 쓰고 있으며 사전에 이 같은 피해를 방지하기 위해 고객들에게 아이디와 패스워드 변경을 공지하는 방법 등으로 대비하고 있다.
경영진들이 갖고 있는 보안에 대한시각과 의견은?
경영진들 모두 보안에 대한 중요성을 어느 기업보다도 강하게 인식하고 있기 때문에 정 보보안에 아낌없는 투자와 지원을 해주고 있어 사내 보안과 고객 개인정보 보호를 위 해 최선을 다하고 있다.
타 기업과 차별화 된 보안 정책이나시스템은?
보안조직의 업무 범위가 글로벌 지사, JV의 보안까지도 같이 담당하면서 현지 담당자들 과 협업하고 있는 구조라는 점이 특징이다. 아무래도 개발사이다 보니 내부에서 개발되 거나 Sourcing을 해오는 게임에 대해 보안성 테스트를 한다는 점과 온라인 게임 내에 서 발생할 수 있는 고유의 보안 영역(게임BOT 을 예방하는데 노력을 하는 점)이 있다 는 점이 업무상 다른 점이라고 할 수 있다. 특히 정책적으로 서비스에 게임이나 신규 웹 이 적용되기 전에 보안검수를 항상 통과해야만 하는 것이 잘 정착되어 있는 점이 특징 이다. 아울러 자체적으로 위험관리 솔루션을 개발하여 온라인 게임회사에 맞는 위험지 표를 개발하고 조기에 위험을 예측할 수 있도록 회사 내에서 Working Group이 운영 되고 있는 점도 특징이라고 생각한다.
올해 고객 정보보호 또는 보안 강화를 위한 투자와 계획은?
고객들에게 온라인 백신이나 키보드 보안을 위한 솔루션을 제공하는 것 외에도 휴대폰 상에서 구동되는 One Time Password 로그인 보안 강화(NCOTP) 서비스를 제공하고 있다. 또 지정된 PC에서만 로그인이 가능하게 하는 서비스, 로그인 시 휴대폰 문자로 로그인 내역을 통보해 주어 계정도용을 예방하는 서비스를 제공하고 있다. 앞으로 이러 한 서비스들에 있어서 기능개선과 사용자들의 불편함을 최소화하는 방향으로 계속 업 그레이드를 계획하고 있다.
국내 보안 솔루션 및 보안 시스템의 문제점이나 개선돼야 할 점은?
규모가 작은 대부분의 국내 보안 회사들이 다 겪고 있는 문제이겠지만 개발자 인력과 기술지원 인력이 부족한 상황은 바뀌지 않고 있는데 고객들이 요구하는 사항들은 점차 높아지고 있어 품질개선이나 다음 버전의 신속한 개발에 투자할 여력이 점차 줄어들고 가는 것이 근본적인 문제인 것 같다.
또 테스트 환경이나 QA환경도 사실 규모가 작은 회사에서는 갖추기 어려운 문제이기 때문에 기능이나 아이디어가 참신한 제품들은 나오지만 지속적으로 제품과 서비스를 유지해 나가는 역량이 다소 떨어지는 것을 우선적으로 해결해야 할 것 같다.
국내 기업들의 기술력 역시 해외에 비해 뒤쳐진다고 보지는 않는다. 다만 뛰어난 기술 을 계속 발전시켜 나가고 서비스의 안정성을 확보해 가려면 기술 외적인 문제가 해결되 어야 한다는 생각이다. 이 역시 시장 환경이 개선되고 보다 많은 투자를 받아 자금력을 유지해 나갈 수 있다면 이런 문제들도 점차 해결될 수 있을 것으로 보인다.
국내 보안기업보다 글로벌 보안기업이나 솔루션을 선호한다면 그 이유는?
또 글로벌 보안 기업 솔루션의문제점은?
우리 회사 자체가 글로벌 기업이다 보니 해외 지사, Joint Venture의 보안도 같이 수 행하고 있기 때문에 어느 국가에나 표준화된 보안솔루션들로 동일하게 통합운영을 하 는 것이 운영상 효율이 높고 비용이 절감된다. 그러려면 아무래도 각 국가에서 구매, 유 지보수, 기술지원을 용이하게 받을 수 있는 글로벌 보안기업의 솔루션을 우선적으로 고 려하게 된다. 국내 보안솔루션의 경우, 우리 회사의 환경에 맞게 커스터마이징을 요청 하여 운영하는 것이 가능하나 글로벌 보안기업의 보안솔루션의 경우에는 커스터마이징 면에서는 약한 면이 있고 각 국가의 로컬 보안 기업들에 비해서는 제품 단가가 높은 편 이다. 글로벌하게 판매되고 있는 제품인 만큼 제품 단가는 좀 더 비쌀 수 있으나 품질 이 일정수준 보장되어 있다는 점에서 글로벌 기업의 솔루션을 선호한다.
사내 보안팀 구성과 역할은 어떻게 나누어져 있으며 운영은 어떻게 하는가?
정보보안실 내에 4개의 팀으로 구성되어 있는데 국내 보안 업무를 담당하는 팀과 해 외 지사/JV의 보안업무를 담당하는 팀, 애플리케이션과 웹의 개발상 취약점 분석과 해결을 전담하는 팀, 조직 내 위험관리를 담당하는 팀으로 역할과 구성이 나누어져 있다.
보안에 대한 최신 정보와 동향에 대한 정보는 주로 어디서 얻는가?
각 벤더들의 security bulletin 웹 사이트나 security focus, zdnet 등을 여전히 가 장 많이 보고 있고 요즘에는 해외 보안관련 저널에서도 많은 정보를 얻고 있다. 보안 의 경제학적인 관점을 다루는 economy of security 분야도 Security ROI를 측정하 는데 많은 도움을 주는 분야이고 기계학습(machine learning), 인공지능(Artificial Intelligence), 데이터마이닝(Data Mining) 기법을 적용한 침입탐지 기법 연구들, botnet을 조기에 구분해 내는 알고리즘들에 대한 최신 연구자료들을 학술지에서 볼 수 있어 많은 도움이 되고 있다.
Computers and Security 저널이나 USENIX의 자료들을 보면 항상 ‘갈 길이 아직도 꽤 멀구나’라는 것을 느낀다.
올해 창간 10주년을 맞은 월간 정보보호21c에 하고 싶은 말은?
10년 전부터 국내 보안기업들이 벤처기업들 위주로 되어 있어 벤처기업의 한계 상 보안 에 대해 딱히 브로드마케팅이나 광고를 하기 마땅치 않은데 보안만을 전문적으로 다 루는 전문지가 있어 기업홍보와 제품광고에 좋은 장이었던 것으로 기억되고 다들 좋은 효과를 보아 왔던 것으로 알고 있다.
보안 회사들에게도 좋은 보안전문지였고 학생, 기업 내 보안담당자, 보안에 관심이 있 는 일반인들에게도 보안에 대한 국내·외 큰 트렌드를 짚어내는 전문잡지일 뿐만 아니 라 세부적인 기술내용에 있어서도 전문기고를 통한 지식공유 역할을 해내는 등 국내 보안발전에 좋은 영향을 많이 전파한 매체라고 생각된다.
10년간 꾸준히 최고 전문잡지의 길을 걸어온 것처럼 향후 10년에도 꾸준히 최고의 보 안잡지로 자리매김하기를 기원한다.
<글 _ 김태형 기자(is21@boannews.com)>
댓글 없음:
댓글 쓰기