글로벌 보안 패러다임인 '제로트러스트'는 아무것도 믿지 않는 보안 체계를 뜻한다. 기존에는 시스템에 접근해오는 데이터를 차단할 때 신뢰할 수 있는 '화이트 리스트'와 신뢰할 수 없는 '블랙 리스트'를 나눴다. 제로트러스트는 그 어떤 것도 검증 전까지는 신뢰하지 않고 모든 사이버 침해 가능성에 대비하는 기술이다.
대부분의 사이버 침해는 이메일이나 인터넷 URL 등을 통해 시작된다. 엔씨소프트는 이를 막기 위해 제로트러스트 도입 전 사내 네트워크를 개발망과 인터넷망으로 분리해 사용했다. '망 분리'는 안정적인 보안 환경을 제공하지만 망간 데이터 이동은 어려웠다.
엔씨(NC)는 망을 통합하는 동시에 보안도 끌어올릴 수 있는 방법으로 제로 트러스트를 택했다.
미국표준기술연구소(NIST)가 ‘SP 800-207’ 보고서를 통해 구현한 가이드라인 7가지를 재해석해 엔씨소프트만의 자체 보안 아키텍처를 구축했다. 특히 ▲사용자 인증 ▲기기 인증 ▲권한 관리 등 3가지 이슈를 최우선 고려사항으로 꼽았는데 이는 최근 과기정통부가 발표한 가이드라인의 핵심 요소들과 맞닿아 있다. 특히 사용자와 기기의 보안 수준을 검증하고 이에 따라 개별 서비스에 접속할 수 있는 권한을 차등 부여하는 것이 엔씨소프트가 도입한 제로 트러스트 모델의 핵심이다.
그 결과 엔씨소프트는 지난해 'ESG 리스크 평가' 정보보안, 개인정보보호 영역에서 글로벌 상위 1% 기업으로 평가 받았다.
정보보호공시포털에 따르면 엔씨소프트는 지난해 174억 원을 투자해 정보보호를 강화했다. 전년(162억 원) 대비 7.2% 증가했으며 공시 대상으로 선정된 게임업체들 중 가장 큰 규모다.
엔씨소프트 관계자는 “선제적으로 글로벌 보안 모델을 도입하고 정보보호 투자를 강화하는 등 빠르게 변화하는 환경 속에서도 리스크를 최소화하기 위해 노력하고 있다”며 “과기부가 발표한 가이드라인에 따라 더욱 개선된 아키텍쳐를 개발해 사각지대가 없는 보안 체계를 구축하겠다”고 밝혔다.
[소비자가만드는신문=최형주 기자]
저작권자 © 소비자가 만드는 신문 무단전재 및 재배포 금지
