.gif)
엔씨소프트, ‘2023 정보보호산업인의 밤’에서 정보보호 대상 수상
제로트러스트 도입, 구현 노하우 전파, ESG 리스크 평가 글로벌 상위 1% 평가획득
전사 게임·서비스에 보안진단 프로세스 의무화, Security by Design·Privacy by Design 구현
[보안뉴스 김경애 기자] ‘2023 정보보호산업인의 밤’에서 진행된 정보보호 대상 시상식에서 엔씨소프트가 단체부문 정보보호 대상을 수상했다. 이에 <보안뉴스>는 엔씨소프트 정보보안센터 신종회 센터장과의 인터뷰를 통해 정보보호 대상 수상소감과 함께 수상 비결, 그리고 엔씨소프트의 정보보호 현황 및 향후 계획 등에 대해 들어봤다.
▲엔씨소프트 정보보안센터 신종회 센터장[사진=엔씨소프트]
Q. 먼저 정보보호 대상 수상소감을 부탁드립니다.
우선 대외적으로 엔씨소프트 정보보호 관리체계의 우수성을 인정받아 제22회 정보보호 대상을 수상하게 된 것을 매우 뜻깊게 생각합니다. 제가 엔씨소프트에 입사한 이후, 지난 5년간 여러 난제들을 극복하면서 대내외적으로 보안의 가치를 높이고자 많은 노력을 기울여 왔는데, 이번에 그 성과를 인정 받게 되어 기쁘게 생각합니다. 저와 함께 애써준 100여명의 센터원들께도 감사의 말씀을 전합니다.
Q. 정보보호 대상 수상에 있어 어떤 점이 가장 인정되었다고 생각하시나요?
수상기업 선정과정에서 심사위원 분들께 크게 3가지의 성과를 어필 드렸었는데요. 그 성과를 인정 받았던 게 대상 수상에 큰 역할을 한 것으로 판단됩니다. 첫 번째로, 동종업계 최초로 제로트러스트를 도입하고, 구현 노하우를 널리 전파해 신보안체계 확산에 기여한 점, 두 번째로 엔씨소프트만의 특화된 정보보호 관리체계를 구축 운영함으로써 ESG 리스크 평가에서 글로벌 상위 1%에 해당하는 높은 평가를 획득한 점, 마지막으로 전사 게임 및 서비스에 보안진단 프로세스를 의무화함으로서 Security by Design·Privacy by Design을 구현한 점입니다.
Q. 엔씨소프트의 정보보안 조직에 대해 소개해 주신다면?
정보보안센터는 엔씨소프트에 특화된 정보보호 관리체계(프로세스 및 테크 관점의 9개 영역)에 맞춰 총 5개실 17팀으로 구성되어 있으며, 고객 및 임직원의 개인정보보호 업무를 맡고 있는 개인정보보호실, 보안교육 및 규정을 관리하는 보안정책실, 보안 시스템 운영 및 사고 대응을 맡고 있는 보안운영실, 게임·서비스·인프라 등의 보안 취약점 점검을 맡고 있는 보안진단실, 게임 안티치트 솔루션과 부정사용자 탐지 등을 맡고 있는 보안개발실로 구성되어 있습니다.
Q. 단체상 부문에서 대상 수상이라 더욱 의미가 있는 것 같은데요. 협업이 잘 되는 측면, 즉 조직의 강점에 대한 설명해 주신다면?
각 실간의 협업은 NC_ISMS 체계에서 사전에 정의한 9개 영역별 세부 기능의 Input·Output 정보에 맞춰 협업을 진행하고 있는데요. 시스템적으로 협업이 이뤄지는 구조입니다. 개인평가에서도 협업 기여도에 대한 부분을 반영하고 있어 상호 간에 긴밀한 협력이 이뤄진다고 보시면 됩니다.
▲엔씨소프트에 특화된 ISMS 체계 수립 및 조직 정비[이미지=엔씨소프트]
Q. 정보보호 대상 수상기업을 보면 모두 쟁쟁합니다. 정보보안을 잘하는 기업은 여러 측면에서 남다를 것 같은데요. 이 가운데서도 엔씨소프트만의 보안 노하우는 무엇인가요?
기업이 정보보안을 잘한다는 것은 결국 임직원의 보안인식 수준이 얼마나 높은가에 달려있다고 생각합니다. 이러한 측면에서 엔씨소프트는 자체적으로 보안인식도 측정지표를 개발해 주기적으로 조사를 진행하고 있는데요. 최근 조사에 따르면 회사 보안수준에 대한 인식도는 80%의 임직원이 ‘높다’고 생각하고 있으며, 스스로의 보안수준에 대해서는 89.2%가 ‘잘하고 있다’라고 생각하는 것으로 파악된 바 있습니다.
▲‘2023 정보보호산업인의 밤’에서 진행된 정보보호 대상 시상식에서 엔씨소프트가 정보보호 대상을 받았다[사진=엔씨소프트]
Q. 엔씨소프트의 정보보호 예산과 올해 증감액은 어떻게 되나요?
2023년도 정보보호공시 자료에 따르면, 약 173억이 정보보호 예산으로 투자되었는데요. 2022년도 정보보호공시에서는 약 162억원이 투자 예산이었습니다. 11억 정도 증가했다고 보시면 됩니다. 올해 투자 예산은 내년 공시에서 공개될 예정입니다.
Q. 정보보안 강화를 위한 엔씨소프트의 향후 계획이 궁금합니다.
제로트러스트는 지금도 진행중입니다. 1단계에 분리된 망을 통합하고 코로나 팬데믹에 대응해 보안환경을 구축했다면, 그 다음 단계로 ‘정보 등급 체계’를 만드는 중입니다. 현재 회사 안에 있는 정보들의 중요도가 분류되지 않아 모든 정보와 자산에 대해 획일적인 보안체계가 적용되고 있는데요. 앞으로는 4단계의 등급 체계를 마련해 보안의 허들이 낮아도 되는 곳에는 규제를 완화하고, 좀 더 면밀한 관리가 필요한 정보와 자산에는 규제를 강화할 계획입니다.
[김경애 기자(boan3@boannews.com)]
제로트러스트 도입, 구현 노하우 전파, ESG 리스크 평가 글로벌 상위 1% 평가획득
전사 게임·서비스에 보안진단 프로세스 의무화, Security by Design·Privacy by Design 구현
[보안뉴스 김경애 기자] ‘2023 정보보호산업인의 밤’에서 진행된 정보보호 대상 시상식에서 엔씨소프트가 단체부문 정보보호 대상을 수상했다. 이에 <보안뉴스>는 엔씨소프트 정보보안센터 신종회 센터장과의 인터뷰를 통해 정보보호 대상 수상소감과 함께 수상 비결, 그리고 엔씨소프트의 정보보호 현황 및 향후 계획 등에 대해 들어봤다.
▲엔씨소프트 정보보안센터 신종회 센터장[사진=엔씨소프트]
Q. 먼저 정보보호 대상 수상소감을 부탁드립니다.
우선 대외적으로 엔씨소프트 정보보호 관리체계의 우수성을 인정받아 제22회 정보보호 대상을 수상하게 된 것을 매우 뜻깊게 생각합니다. 제가 엔씨소프트에 입사한 이후, 지난 5년간 여러 난제들을 극복하면서 대내외적으로 보안의 가치를 높이고자 많은 노력을 기울여 왔는데, 이번에 그 성과를 인정 받게 되어 기쁘게 생각합니다. 저와 함께 애써준 100여명의 센터원들께도 감사의 말씀을 전합니다.
Q. 정보보호 대상 수상에 있어 어떤 점이 가장 인정되었다고 생각하시나요?
수상기업 선정과정에서 심사위원 분들께 크게 3가지의 성과를 어필 드렸었는데요. 그 성과를 인정 받았던 게 대상 수상에 큰 역할을 한 것으로 판단됩니다. 첫 번째로, 동종업계 최초로 제로트러스트를 도입하고, 구현 노하우를 널리 전파해 신보안체계 확산에 기여한 점, 두 번째로 엔씨소프트만의 특화된 정보보호 관리체계를 구축 운영함으로써 ESG 리스크 평가에서 글로벌 상위 1%에 해당하는 높은 평가를 획득한 점, 마지막으로 전사 게임 및 서비스에 보안진단 프로세스를 의무화함으로서 Security by Design·Privacy by Design을 구현한 점입니다.
Q. 엔씨소프트의 정보보안 조직에 대해 소개해 주신다면?
정보보안센터는 엔씨소프트에 특화된 정보보호 관리체계(프로세스 및 테크 관점의 9개 영역)에 맞춰 총 5개실 17팀으로 구성되어 있으며, 고객 및 임직원의 개인정보보호 업무를 맡고 있는 개인정보보호실, 보안교육 및 규정을 관리하는 보안정책실, 보안 시스템 운영 및 사고 대응을 맡고 있는 보안운영실, 게임·서비스·인프라 등의 보안 취약점 점검을 맡고 있는 보안진단실, 게임 안티치트 솔루션과 부정사용자 탐지 등을 맡고 있는 보안개발실로 구성되어 있습니다.
Q. 단체상 부문에서 대상 수상이라 더욱 의미가 있는 것 같은데요. 협업이 잘 되는 측면, 즉 조직의 강점에 대한 설명해 주신다면?
각 실간의 협업은 NC_ISMS 체계에서 사전에 정의한 9개 영역별 세부 기능의 Input·Output 정보에 맞춰 협업을 진행하고 있는데요. 시스템적으로 협업이 이뤄지는 구조입니다. 개인평가에서도 협업 기여도에 대한 부분을 반영하고 있어 상호 간에 긴밀한 협력이 이뤄진다고 보시면 됩니다.
▲엔씨소프트에 특화된 ISMS 체계 수립 및 조직 정비[이미지=엔씨소프트]
Q. 정보보호 대상 수상기업을 보면 모두 쟁쟁합니다. 정보보안을 잘하는 기업은 여러 측면에서 남다를 것 같은데요. 이 가운데서도 엔씨소프트만의 보안 노하우는 무엇인가요?
기업이 정보보안을 잘한다는 것은 결국 임직원의 보안인식 수준이 얼마나 높은가에 달려있다고 생각합니다. 이러한 측면에서 엔씨소프트는 자체적으로 보안인식도 측정지표를 개발해 주기적으로 조사를 진행하고 있는데요. 최근 조사에 따르면 회사 보안수준에 대한 인식도는 80%의 임직원이 ‘높다’고 생각하고 있으며, 스스로의 보안수준에 대해서는 89.2%가 ‘잘하고 있다’라고 생각하는 것으로 파악된 바 있습니다.
▲‘2023 정보보호산업인의 밤’에서 진행된 정보보호 대상 시상식에서 엔씨소프트가 정보보호 대상을 받았다[사진=엔씨소프트]
Q. 엔씨소프트의 정보보호 예산과 올해 증감액은 어떻게 되나요?
2023년도 정보보호공시 자료에 따르면, 약 173억이 정보보호 예산으로 투자되었는데요. 2022년도 정보보호공시에서는 약 162억원이 투자 예산이었습니다. 11억 정도 증가했다고 보시면 됩니다. 올해 투자 예산은 내년 공시에서 공개될 예정입니다.
Q. 정보보안 강화를 위한 엔씨소프트의 향후 계획이 궁금합니다.
제로트러스트는 지금도 진행중입니다. 1단계에 분리된 망을 통합하고 코로나 팬데믹에 대응해 보안환경을 구축했다면, 그 다음 단계로 ‘정보 등급 체계’를 만드는 중입니다. 현재 회사 안에 있는 정보들의 중요도가 분류되지 않아 모든 정보와 자산에 대해 획일적인 보안체계가 적용되고 있는데요. 앞으로는 4단계의 등급 체계를 마련해 보안의 허들이 낮아도 되는 곳에는 규제를 완화하고, 좀 더 면밀한 관리가 필요한 정보와 자산에는 규제를 강화할 계획입니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
