2014.12.26 커리어

보안 HISTORY #1 보안의 성벽을 쌓다

보안 HISTORY #1 보안의 성벽을 쌓다

서홍원 보안운영실장
김휘강 교수 / 고려대학교 정보보호학부·정보보호대학원 사이버국방학과,
전 엔씨소프트 정보보안실장

2013년 대한민국을 놀라게 한 해킹사건을 기억하시나요? 국내 주요 금융망과 3대 언론사 그리고 국정원 등의 정부기관 전산망까지 해킹된 큰 사건이었습니다. 2014년도 안심할 수는 없는 해였죠. 통신사와 카드, 은행에 저장된 고객들의 개인정보가 유출된 것입니다. 대통령의 개인정보까지 털렸다는 우스갯소리가 나오기도 한 올해. 그래서 대두된 것이 바로 ‘보안’입니다.

국내 최대의 게임회사 엔씨소프트는 게임업계뿐만 아니라 전체 산업군 중에서도 보안에 투철하기로 유명한 회사입니다. 사람들이 보안을 간과했던 오래 전부터 꾸준히 신경 쓰고 투자한 덕분에 현재는 견고한 보안시스템을 갖추었죠. 그래서 만나보았습니다! 엔씨소프트 보안의 초석을 마련한 김휘강 교수님과 현재 엔씨 보안을 책임지고 있는 서홍원 실장님! 친밀한 대학 선후배 사이라는 두 분의 재미난 ‘보안’ 이야기를 우주정복 블로그에서 은밀하게 만나보세요 🙂


Step 1. 보안의 성벽을 쌓다

보안 시스템은 금융권, 통신사, 공공기관 등에서는 법의 규제를 받는 분야다. 하지만 게임회사나 인터넷 포털은 보안에 대한 규제가 없다. 그럼에도 불구하고 엔씨소프트는 스스로 보안의 필요성을 먼저 느끼고, 이를 구축하기 위해 10여 년 전부터 부단히 노력해 왔다.

게임 업계 보안의 성벽


시대를 앞서간 최초의 보안전담팀

현재 고려대학교 정보보호학부•정보보호대학원 사이버국방학과에서 학생들을 가르치고 있는 김휘강 교수. 과거 엔씨소프트 정보보안실장으로 일했던, 전 엔씨소프트 인이다. 그는 2004년 정보보안팀으로 입사해 약 6년 여 엔씨소프트와 함께 했다. 당시만 해도 엔씨소프트에는 보안전담팀이 없었다. 물론 게임회사 중 보안팀이 있는 회사는 전무했다. 게임 업계뿐만 아니라 중견급 은행도 보안 전담 팀을 구성하지 않았던 시기였다. 소수의 네트워크 관리자나 시스템 운영자가 보안을 겸하는 식이었다. 엔씨소프트는 보안 전담팀을 만든 첫 번째 케이스가 되었다. 김 교수는 당시 국내 보안 상황에 대해 이렇게 설명한다.

“게임 쪽 엔씨소프트와 포털 쪽 NHN이 보안 전담팀을 가장 먼저 만들었다라고 보시면 됩니다. 각 분야에서 두 곳이 유일했죠. 엔씨소프트는 상당히 이른 타이밍에 보안에 신경을 쓴 케이스입니다. 사실 2000년 초반에는 보안에 대한 생각을 잘 못했어요. 보안에 대한 이해도 부족하고, 예산이 많이 들어가니 우선순위에서도 밀리고요. 당시 엔씨소프트 직원수가 700명 수준으로 그렇게 큰 규모는 아니었는데, 보안 시스템에 그런 투자를 했다는 건 굉장히 혁신적인 일이었죠.”

시대를 앞서간 최초의 보안전담팀

사실 보안이라는 것은 다른 분야와는 업무의 성격이 다르다. 보안은 어떤 가시적 성과를 보이기 보다는 ‘문제가 생기지 않도록’ 하는 것이 최우선 과제인 만큼 대부분의 작업이 사용자 혹은 시스템 상에서 쉽게 드러나지 않는 쪽에서 이루어진다. 아이러니하게도 보안팀이 눈에 띄지 않는다는 것은 곧 업무를 잘 하고 있다는 것이다. 현재 엔씨소프트의 보안체계를 책임지고 있는 서홍원 실장은, 보안 담당자는 막는 것이 당연하고 골을 먹으면 욕을 먹는 ‘수비수’라 얘기한다.

“사실 운영과 보안 파트는 공격수가 아닙니다. 일 하는 게 잘 티가 나지 않아요. 당시에는 힘만 들고 욕만 먹는다며 보안을 맡고 싶지 않아하는 분위기도 팽배했어요. 남는 장사가 아니라는 거죠(웃음). 그럼에도 불구하고 당시 김택진 대표님은 모두를 설득해 보안 시스템을 처음부터 다시 설계해나가도록 지원해주었습니다. 지금은 상황이 변했죠. 굳이 은행권, 공공기관이 아니더라도 정보가 얼마나 중요한지 알고 있어요. 그만큼 다들 더 견고한 보안을 위해 노력하고 있잖아요. 엔씨소프트는 이미 10여 년 전에 보안에 대한 판을 새로 짜놓았던 덕에, 지금도 큰 문제없이 발전해나갈 수 있는 시스템입니다. 그런 면에서 당시 회사의 판단이 적확했던 것이죠.”


“엇! 다 되어있네?”

엔씨소프트의 보안 시스템이 구축되는 당시 주변 게임회사들 반응은 가장 먼저 “대단하다.” 다음은 “엔씨니까 하지, 우린 못해”였다.

엔씨소프트에 구축된 보안 시스템

2004년 당시 엔씨 시스템 중 특히 차별화되는 점은 바로 ‘용도에 따라 네트워크를 물리적으로 분리했다는 것’이다. 엔씨소프트의 네트워크는 각각 개발망, 운영(서비스)망, 일반 업무망 등 커다란 세 개의 덩어리로 분리되어있다. 각 망은 상호간 단절되어있으며 특정한 경우에만 접속 및 데이터의 왕래가 가능하다. 애초에 설계부터 보안을 염두 해둔 엔씨소프트만의 시스템이다.

엔씨소프트가 보안 시스템을 구축하고, 2004~2008년 경에 중국발 해킹이 인터넷 업계에 심각하게 발생하고 있었다. 보안에 대한 필요성이 대두되면서 많은 게임 회사들이 엔씨소프트를 벤치마킹하기 시작했다. 서홍원 실장은 업계뿐만 아니라 기관에 컨설팅을 해주는 일도 있었다고 말한다.

“좋은 말로 컨설팅인데, ‘불려갔다’라는 말이 더 맞을 수도 있겠네요(웃음) 2011년 무렵이었는데, 정보통신부였던 것 같아요. 장장 4시간에 걸쳐 망 분리를 어떻게 했느냐, 뭐는 좋고, 어떤 것은 불편하냐 하는 등 무수한 질문세례를 받았죠.”

시대를 앞서간 최초의 보안전담팀 2

서홍원 실장은 김휘강 교수의 후임자로서 편한 부분이 많단다. 후배이자 선임자(대학에서는 김 교수가 서 실장의 후배지만, 엔씨소프트에서는 김 교수가 선배다)가 워낙 초석을 잘 다져 놓았기 때문이라고. 새로운 보안 규정이 나오더라도 간단하게 끝난다고 한다.

“최근 개인정보 보안법 등이 한층 강화되면서 여러 가지 보안규제들이 나오고 있어요. 특히 은행이나 금융권 등에서 보안 관련 법 규제가 많거든요. 망분리만 해도 최근에는 금융권에서 법적으로 권고하고 있고요. (과거에는 망분리가 법적으로 규정화 되어 있지는 않았습니다.) 하지만 엔씨소프트는 별도의 법 규제가 없는 상황에서 이미 자발적으로 보안 시스템을 구축해놓았거든요. 새로운 규정이 나오더라도 우리 시스템과 비교해보면 ‘엇, 다 되어있네’하고 다들 놀라죠. 소소하게 ‘여기는 이것으로 하지 말고, 이것으로 하세요’ 정도만 하고 별 다른 지시 없이 끝나요.

TOP