2015.01.26 커리어

보안 HISTORY #2 함께 성벽을 쌓는 동료들

보안 HISTORY #2 함께 성벽을 쌓는 동료들

서홍원 보안운영실장
김휘강 교수 / 고려대학교 정보보호학부․ 정보보호대학원 사이버국방학과,
전 엔씨소프트 정보보안실장

엔씨소프트 보안 History 두 번째 시간입니다. 보안은 아무리 강조해도 지나치지 않죠. 특히 게임회사라면 더 그렇습니다. 지난 시간에는 게임업계 최초 타이틀을 가진 엔씨소프트의 보안 시스템에 대해 이야기 나눠보았습니다. 자칫 어려울 수도 있었던 보안 시스템 이야기입니다만, 사적으로도 친한 선후배 사이라는 김휘강 교수님과 서홍원 실장님 덕분에  쉽고 재미있게 전개되었는데요! 이번에는 엔씨소프트의 보안 시스템 구축 과정에 대해 이야기 해보려 합니다. 강력한 보안을 위해 동고동락한 두 사람의 이야기를 우주정복 블로그에서 만나보세요:)!


STEP 2. 함께 성벽을 쌓는 동료들

‘무(無)에서 유(有)를 만든다’는 것은 무척 어렵고 까다로운 고난의 과정이다. 엔씨소프트의 보안 시스템을 만드는 과정도 이런 창작의 과정이나 다름없었다. 게다가 보안을 위해 기존에 운영하던 모든 네트워크를 갈아 엎는다는 것은 당시로서는 상상할 수 없었던 일이었다.

엔씨소프트의 보안 시스템을 만드는 과정


처음부터 다시, 완전히 새롭게

지난 시간에 언급한 바와 같이, 엔씨소프트의 네트워크는 현재 각각 개발망/운영(서비스)망/일반 업무망 등 커다란 세 개의 덩어리로 분리되어있다. 상호 단절되어 있는 망분리 체계는 외부의 공격으로부터 게임 시스템이나 정보 등을 보호할 수 있는 철저하고 견고한 엔씨소프트만의 보안 체계라 할 수 있다. 김휘강 교수는 애초 설계부터 보안을 염두에 두었기 때문에 지금과 같은 방식의 시스템 구축과 운영이 가능하다고 말한다.

“이미 시스템이 운영되고 있는 상황에서 보안 시스템을 근본부터 재구축하는 일은 간단한 작업이 아닙니다. 쉽게 말하면 ‘에볼라’같은 전염병이 돌 때 방역하는 과정과 비슷하다고 보시면 됩니다. 오염되어 있는 곳에 뭘 덮고 해봐야 결국 오염되어 있는 상태인 거잖아요. 그 지역, 기존 네트워크 및 시스템을 깨끗이 격리하고 방역한 뒤에 출발해야 하는 거죠.”

그 시절, 망을 분리하고 보안 시스템을 세팅하는 과정은 어땠을까? 김휘강 교수는 그리 녹록지 않았던 당시 작업과정을 회고한다.

“먼저 인터넷을 끊고 업무를 중단한 다음 각 부서 별 모든 PC와 네트워크를 깨끗한 상태로 만듭니다. 다음 망을 분리하고 격리시켜 하나씩 클린룸을 만들어가는 거죠. 사내전산팀, 시스템운영팀 협조를 받아 전 직원을 대상으로 교육과 동시에 매뉴얼과 CD를 배포하고, 보안패치 설치 후 망은 제대로 격리 되었나 일일이 찾아가서 확인해요. 깨끗하다는 판정을 내린 조직부터 순차적으로 네트워크 연결을 해주는 식으로 진행하는데, 당시 2-3주 정도의 시간이 소요되었어요.”

엔씨소프트의 보안 시스템을 만드는 과정 2

사실 이러한 일련의 작업이 경영진 입장에서는 큰 투자인 셈이다. 며칠 동안 모든 비즈니스를 중단하고, 전 직원의 PC를 포맷하고 깨끗한 상태로 만들었으며 아예 PC를 새로 구입하기도 했다. 각자 업무 용도에 맞게 새로 구성한 네트워크를 재배치하여 사용하였는데, 이 과정에서 경제적인 손실이 컸다. 업무에 혼란이 올 수도 있었다. 김휘강 교수는 보안 시스템을 구축하는 일 자체가 번거롭고 복잡한 만큼 경영진의 확고한 결단이 필요한 부분이기도 하다고 말한다.

“지금이야 금융권 등에서 법적으로 권고하고 있긴 하지만, 일반적인 회사에서는 하고 싶어도 쉽지 않죠. 비용문제도 있고, 경영진이 이해를 못하면 추진하기가 어렵죠. 지금 생각하면 당시 회사에서 굉장히 파격적인 결정을 내린 거에요. 하지만 처음에 힘들어도 더 확실한 방법이고, 한번 구축해 두면 이후에 외부로부터 공격을 막아내기에 유리한 방어 체계입니다. 이후 보안정책을 운영하기에도 상당히 유리합니다. 엔씨소프트는 당시 망분리 외에도 상당한 수준의 보안 시스템들을 미리 구축해 둔 덕분에 외부로부터 쉽게 뚫리지 않는 보안시스템을 갖출 수 있게 된 거죠.”


함께 성벽을 쌓는 동료들

현재까지 엔씨소프트는 금융권들이나 통신사에서 발생한 것과 같은 대규모 개인 정보 유출 사례가 없었다. 하지만 2007년 무렵, 명의 도용 사건이 있었다. 계정도용이 아닌 명의도용은 회사의 보안 수준과는 무관하게, 외부에서 임의의 주민등록번호 정보를 취득한 뒤 누군가 리니지 계정을 만들어 문제가 된 것이다. 김 교수는 이 명의 도용 소송사건을 가장 기억에 남는 일이라고 말다.

“제법 큰 사건이었죠. 임원진, 보안팀, 법무팀, 외부 법무법인 등으로 TFT가 꾸려졌어요. 형사부터 민사까지 갔던 길고 긴 싸움이었는데, 결국 형사 민사 모두 엔씨소프트의 완전한 승소로 마무리 되었죠. 이 사건을 겪으며 회사에 작은 도움이라도 되었다는 뿌듯함이 있어요. 당시 사건을 해결하고자 같이 뛰었던 직원들과는 지금도 잘 지내요. 전쟁터에서 화약 냄새 함께 맡은 전우끼리 끈끈한 것처럼요(웃음).”

김휘강 교수가 끈끈하다는 말을 하자, 서홍원 실장이 덧붙여 말한다

김휘강 교수가 끈끈하다는 말을 하자, 서홍원 실장이 덧붙여 말한다.

“보안이라는 것은 결국은 회사의 서버를 공격하는 이들과 싸우는 일이에요. 회사를 지키는 것이 내 일이다보니, 마음도 남달라지죠. 애사심이라는 표현이 맞을 지 모르겠네요. 같이 성벽을 쌓는 동지들과 더 깊어지고, 회사와 특별해지는 것, 보안의 매력은 그런 것이 아닐까요.”

TOP