넷마블 사옥 지타워. (사진=넷마블)
잇따른 해킹 사건·사고에 게임업계에도 보안 경고음이 울리고 있다.
1일 업계에 따르면 넷마블은 지난달 22일 PC 게임 사이트가 외부 해킹을 받아 이용자, 가맹 PC방, 일부 전·현직 임직원 정보 유출 정황을 확인하고 점검에 착수했다.
올해 IT 업계의 화두는 '해킹'이다. 올해 4월 SK텔레콤의 유심 해킹 사태를 시작으로, 10월 KT의 불법 초소형 기지국(펨토셀) 해킹, 11월 업비트 해킹 정황 등 보안 위협이 끊임없이 이어지고 있다.
게임업계도 마찬가지다. 올해 2월 위메이드에서는 플레이 브릿지 볼트에 대한 외부 해킹 공격으로 약 864만 4860개의 위믹스 코인이 비정상 출금됐다. 엔씨소프트의 경우 최근 출시한 신작 '아이온2'에 과도한 트래픽을 발생시키는 대규모 DDoS(디도스) 공격이 들어오면서 서버 지연 장애를 유발한 바 있다.
이에 게임사들이 보안 시스템 정비·투자를 늘려야 한다는 목소리가 나온다. 한국인터넷진흥원(KISA) 정보보호 공시 기준 국내 주요 게임사 중 넥슨코리아는 지난해 정보보호 투자비로 227억원을 지출했으며, 엔씨는 181억원, 크래프톤 96억원, 넷마블 57억원이었다.
다만 게임사들이 연간 전체 매출 대비 보안에 투자하는 비율(넥슨 0.56%, 엔씨 1.14%, 크래프톤 0.35%, 넷마블 0.21%)이 엔씨를 제외하면 전체 업종 평균(1.03%)보다 적다는 지적이 나온다. 게임이라는 업종 특성상 이용자들의 민감한 개인정보를 수집하는 만큼, 보안의 중요성이 타 업종 대비 훨씬 높다는 논지다.
다만 실제 게임사들의 보안 투자 현황을 살펴보면 무게감이 조금 다르다. 이들 게임사 모두 보안 중요성을 인식하고 관련 투자를 늘려나가고 있다. 지난해 넥슨코리아는 정보보안 투자비를 전년 대비 40% 늘렸고, 관련 인력도 163명으로 60% 넘게 확충했다. 엔씨소프트의 경우 영업적자 기록 등 매출이 지속 감소하는 상황에서도 3년동안 보안 투자 규모를 12% 추가로 늘렸다.
여기에 넥슨·크래프톤·엔씨소프트·넷마블 모두 기존 ISMS(정보보호관리체계 인증)을 넘어 개인정보 전 생명주기 보호 요구사항까지 고려한 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)까지 받은 상태다. 시스템적으로는 국내 최정상 IT 기업들과 같은 수준의 보안 체계를 구축한 셈이다.
그렇다면 문제는 어디서 발생하는 것일까. 현장에서는 내부 직원 교육 및 보안시스템 업데이트 주기 단축 등 체계적인 관리 체계 구축이 필요하다고 주장한다. 시스템 설계를 제대로 구축해 뒀어도, 운영에서 휴먼 에러가 발생하면서 보안 사고가 발생한다는 설명이다.
단순히 비용을 들여 시스템을 최신 버전으로 업그레이드하는 것보다도, 기존의 시스템을 기업 문화에 맞춰 최적화하고 위협 발생 시 적절한 초동 대처가 가능하도록 내부 교육이 이뤄져야 한다는 의미다.
한 IT업계 관계자는 "대대적인 서버 해킹보다도 내부 계정·외부 공급망에서 비밀번호 관리 소홀 등으로 관리자 계정이 탈취될 가능성이 훨씬 높다"면서 "보안 투자를 늘리는 것도 필요하지만, 전 주기적인 점검을 통해 보안 취약점을 계속 찾아내야 한다"고 말했다.