게임출시 전 리패키징 방지 위해 모의해킹 통한 기술적 검수에 주력
‘컴투스 정보보호의 날’ 지정 등 통해 전사 차원의 보안인식 강화
[보안뉴스 김경애] 스마트폰 보급이 대중화되면서 PC게임 이용자들이 이제는 너도나도 스마트폰을 이용해 게임을 즐기고 있다. 특히, 모바일 게임시장이 급격히 팽창하면서 기존의 대형 게임 업체들도 모바일 게임산업에 뛰어들고 있어 그에 따른 경쟁도 치열하다.
이에 따라 모바일 게임 사용자들을 노리는 보안위협도 점차 심각해지고 있다. 그럼 모바일 게임업체는 어떤 보안조치를 취하고 있을까?
이와 관련 본지는 최근 모바일 게임 분야에서 두각을 나타내고 있으며, 최근 그들의 대표작인 ‘9이닝스 : 프로야구 2013’로 천만 다운로드를 달성한 컴투스(대표 박지영)의 보안 구축사례를 취재했다.
1년에 40~50개 정도의 모바일 게임을 출시하고 있는 컴투스는 게임 특성상 불법 해킹 툴 악용, 악성앱 차단 등을 위한 기술적 보안 강화와 함께 전사적으로 정보보안에 대한 인식 교육에 중점을 두고 있다.
특히, 게임업체의 주요 보안이슈인 개인정보보호와 관련해 컴투스는 이메일 주소와 패스워드 등 최소한의 개인정보만 수집하고 있다. 이와 관련 정보보호관리자인 개발본부 SA팀 윤진환 차석은 “2008년부터 개인정보 이슈가 불거졌기 때문에 2009년경부터 단계적으로 개인정보 수집을 최소화하고 있다”며, “만약 개인정보를 수집할 경우 운영·관리 비용이 증가하고, 모바일 게임업체의 특성상 굳이 홈페이지를 통해 개인정보를 수집할 이유가 없었기 때문”이라고 말했다.
다만, 게임과 관련된 이벤트를 진행할 때 별도의 추가 정보를 수집해야 하는 경우에는 전화번호와 주소, 이름 정도까지만 수집하고 주민번호 등은 별도로 수집하지 않도록 내부적으로 규제하고 있다는 것. 더욱이 별도 수집된 정보에 대해서는 6개월 간 보관한 후 완전히 파기하고 있다고 덧붙였다. 이에 대해서는 내부감사 등 관리적 보호조치도 병행하고 있다고 컴투스 측은 밝혔다.
또한, 컴투스는 직원 채용시에도 암호화 조치를 통해 입사지원자들의 개인정보를 철저히 보호하고 있다. 이와 관련 윤진환 차석은 “많은 기업들의 경우 온라인 채용 시스템에 개인정보를 입력하는 경우가 많은데, 컴투스는 지원자가 이메일과 패스워드의 입력단계를 거친 후 개인정보를 입력하도록 하고 있다”며, “개인정보를 입력할 때에도 주민번호는 수집하지 않고, 생년월일만 수집하고 있다”고 말했다.
이와 함께 전체 DB 시스템의 경우 DB접근제어 시스템 구축으로 데이터 보호에 만전을 기하고 있다고 전했다.
그렇다면 게임에서 이용되는 해킹 툴이나 악성코드에 대해서는 어떻게 대처하고 있을까? 이에 대해 윤진환 차석은 “스마트폰이 대중화되면서 기존 PC게임에서 존재하는 해킹 툴 또는 악성 앱이 스마트폰에도 위협이 되고 있다”며, “이에 품질관리팀에서는 게임유저들이 리패키징을 시도하거나 악성앱을 제작하지 못하도록 게임이 출시되기 전에 모의해킹을 실시하고, 이와 별개로 SA팀에서 별도 검수가 이뤄진다”고 설명했다.
또한, 윤진환 차석은 “여기에 그치지 않고 별도의 게임해킹 커뮤니티에 게재된 불법 툴 및 악성앱 리스트를 수집하고 분석해 그에 따른 조치를 취하고 있고, 기술적인 취약점에 대해 자체적으로 검토해서 보완하고 있다”고 덧붙였다.
그러나 올해 말까지 망분리 적용 대상에 해당되는 컴투스는 망분리 솔루션 도입의 경우 방식과 시기 등에 있어 내부 검토단계에 있다며 신중한 입장을 보였다. 보안 거버넌스 관점에서 보안위협을 최소화하고 효율성을 향상시켜 이를 보안성과에 적극 반영하기 위해 여러 전문가들의 의견을 수렴하는 단계라는 설명이다.
이와 관련 윤진환 차석은 “기업은 거버넌스 관점에서 보안을 적용해야 하기 때문에 비용과 효율성 측면에 중심을 두고 있다. 이에 따라 자체적인 보안 거버넌스를 수립하고 기업 특성에 맞게 방향을 세워야 하는데, 관련 제도 변화에 따라 기업 보안정책도 변경해야 한다는 점에서 애로사항이 있다”고 밝혔다.
▲컴투스 사내에 곳곳에 부착되어 있는 ‘컴투스 정보보호의 날’ 포스터
관리적 보호조치와 관련해서는 매주 둘째주 금요일 ‘컴투스의 정보보호의 날’을 지정해 자체적으로 운영하고 있다. 전 직원이 실천할 수 있도록 주요 보안수칙 등을 담은 포스터를 사내 곳곳에 부착하고 있다. 이는 전사적으로 정보보호 인식을 제고시키기 위함이다.
이와 함께 컴투스는 정보보호실무위원회를 별도 운영하고 있다. 각 팀별로 보안담당자를 위촉해 총 14명이 활동하면서 각 팀별로 보안점검사항 등을 자체적으로 체크하고 있다.
이와 관련해 윤진환 차석은 “좋은 솔루션을 도입하는 것 못지 않게 운영·관리가 중요하다”며, “이를 위해서는 모든 직원들의 정보보호 인식 향상이 절대적으로 필요하고, 그에 따른 신뢰를 바탕으로 운영·관리돼야 한다”고 강조했다.
무엇보다 컴투스는 정보보호 인식제고를 위한 직원들의 보안교육에 적극 나서고 있다. 올해 상반기 컴투스 전사 워크샵을 통해 보안교육을 진행했고, 3차례에 걸쳐 외부 정보보안 전문가들을 초빙해 전 직원 대상 교육이 이루어졌으며, 올해 하반기에는 윤진환 차석이 직접 보안교육에 나설 방침이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)