엔씨소프트, NHN, 넷마블, 위메이드, 펄어비스 등 국내 주요 게임사들이 정보보안 시스템과 개인정보보호 체계를 지속적으로 업그레이드하고 있다. 글로벌 사업 진출이 더욱 활발해지면서 국제표준에 발맞춰 발빠르게 대응하는 것이다.
12일 엔씨소프트, NHN, 넷마블, 위메이드, 펄어비스가 공시한 '지속가능(ESG)경영보고서'를 보면 이들의 정보보안 시스템과 개인정보보호 체계가 고도화를 거듭하고 있다.
엔씨의 경우 지난해 정보유출 모니터링 업무의 체계적인 대응을 위한 절차를 통합하고 기준도 수립했다. 침해 사고 대응 등급도 재정의하고 비밀번호 정책을 변경하는 한편, 이동형 영상정보처리기기 기준 수립, 생체정보보호 준수사항을 추가하는 등 업그레이드를 지속했다.
특히 엔씨는 기존의 파편화된 정보에 대한 보안성 향상을 위해 '코드 사이닝 인증서 통합 시스템'을 자체 개발하기도 했다. 엔씨는 ESG 보고서에서 "개별적으로 관리되던 인증서를 통합 관리 시스템 체계를 구축했다"며 "중앙에서 관리해 인증키가 노출되는 등 보안 취약성을 개선하고 업무 편의성도 향상시킨 것"이라고 설명했다.
엔씨는 외부 위협으로부터 서비스와 자산을 보호하기 위해 자체 개발 서버 보안 모니터링 솔루션 'SAMS'(Security Analysis Management System)를 통해 게임·플랫폼 서버의 취약점을 실시간으로 점검하고 대응하고 있다. 지난해는 SAMS를 국내외 자회사로 확대 적용해 글로벌 환경에서 상시 취약점 점검 체계를 고도화했다. 이와 함께 개인정보 보호체계를 평가하는 글로벌 인증 'CBPR'(Cross Border Privacy Rule)도 획득했다.
NHN은 게임 사업뿐 아니라 클라우드와 같은 종합IT 사업도 벌이고 있는 만큼 일반적인 게임사 수준을 넘어서는 정보보안 시스템과 개인정보보호 체계를 갖추고 있다. 실제로 NHN은 주기적인 모의 훈련을 진행하면서 개인정보유출 사고에 대한 구성원의 경각심을 고취하고, 유사 사고 발생을 예방하고 있다.
NHN의 보고서는 "매년 악성메일 발송을 가정한 APT(지능형지속공격) 모의훈련을 수행하고 있다"며 "실제 악성메일과 유사한 메일을 발송하고 대응상황을 모니터링함으로써 구성원의 보안의식을 점검하고, 한국인터넷진흥원(KISA) 주관으로 디도스(DDoS) 공격을 가정한 침해사고 모의 훈련도 진행한다"고 했다.
NHN은 이같은 훈련의 결과로 KISA가 지난해 상반기 진행한 '민간분야 사이버 위기대응 모의훈련'에서 우수기업으로 선정돼 표창을 받았다. 자회사 NHN클라우드의 경우 'NHN클라우드 버추얼 데스크톱'에 대한 클라우드 보안인증(CSAP)도 획득했고, NHN두레이는 국가정보원의 보안성 검토를 통과해 국가정보원에 협업 솔루션 '두레이'를 공급하는 등 실적에도 기여하고 있다.
넷마블은 정보보호최고책임자(CISO)가 개인정보보호책임자(CPO)를 겸직하고 있는데, 2022년 CISO협의회 등이 주최한 '제1회 CISO 대상' 과학기술정보통신부 장관상을 받은데 이어 지난해는 한국정보산업연합회 주관 '올해의 CISO상'을 수상하는 등 정보보호의 'C레벨'이 전문성을 널리 인정받고있다.
지난해 4월 넷마블은 글로벌 개인정보보호 인증인 'APEC CBPR'을 취득해 글로벌 게임 서비스를 통해 처리하는 개인정보에 대해서도 인증 범위를 확대했다.
넷마블은 보고서에서 "APEC CBPR 인증은 개인정보보호 수준이 국내뿐만 아니라 글로벌 수준에 부합하는 점을 증명하는 것"이라며 "미국과 일본 등 주요 APEC 회원국간 개인정보 이전 체계가 간소화됨에 따라 업무 효율화가 가능해져 글로벌 사업 경쟁력도 확보할 수 있게 됐다"고 강조했다.
위메이드도 지난해 APEC CBPR 인증을 획득했다. 위메이드는 보고서에서 "해당 정보보호 인증 범위는 라이선스와 기타 사업 분야 외 모든 영역"이라며 "지난해 매출 기준 약 80.73%가 정보보호 인증 범위에 해당하는 것"이라고 설명했다.
또한 유럽 일반개인정보보호법(GDPR)과 미국 캘리포니아 소비자 프라이버시 보호법(CCPA), 미국 아동 온라인 프라이버시 보호법(COPPA)을 준수하는 등 글로벌 수준의 정보보호 관리체계를 통해 해외 시장에서의 리스크를 최소화하고 있다.
이와 함께 정보보안시스템 로그 상관관계 분석전용 솔루션인 'SIEM'(Security Information and Event Management)을 이용해 선제적 방어 체계를 구축해왔다.
펄어비스도 GDPR, 미국 캘리포니아 프라이버시 권리법(CPRA), CCPA를 비롯한 주요 20개국의 개인정보보호 법령 및 규제의 요구 수준을 만족하는 체계를 갖췄다.
또한 펄어비스는 지난해 전체 IT 예산에서 약 17%를 정보보호 분야에 투자했다. 전년대비 7% 늘어난 수치다. 국내외 개인정보 관련 법률검토 건수는 2022년 14개국에서 지난해 20개국으로 6개국 증가했다. 올해는 28개국으로 확대할 계획이다.
