Home > 전체기사
네오위즈 최중섭 CISO “경영진의 믿음이 가장 큰 힘”
  |  입력 : 2018-02-01 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[CISO 인터뷰] 네오위즈 최중섭 보안실장...경영진의 보안실에 대한 믿음에 감사
게임사에 대한 공격은 대부분 어뷰징(Abusing)...직원들의 보안의식 뛰어나 안심


▲네오위즈 최중섭 보안실장[사진=보안뉴스]

[보안뉴스 원병철 기자] 기업에서 보안을 총괄하는 CISO가 겪어야 하는 문제 중에서 가장 어려움을 겪는 것은 무엇일까? 여러 가지 문제들이 있겠지만 모두가 공감하는 것 중 하나가 바로 보안사고 발생시 CISO의 책임을 들 수 있다. 보안사고만 났다하면 대책 마련은 뒷전이고 희생양을 찾으려는 사람들 탓에 CISO는 바람 앞의 촛불신세였다.

그런 의미에서 네오위즈는 귀감이 되고 있다. 가장 많은 공격을 받는 기업 중 하나인 게임업체, 그것도 국내를 대표하는 게임사 중 하나인 네오위즈는 2012년 보안전담팀 ‘기술보안 유닛(unit)’을 만들면서 영입한 최중섭 CISO를 지금까지 믿고 맡기고 있으며, 최중섭 CISO는 2012년 이후 별다른 사고 없이 네오위즈의 보안을 지켜냄으로써 그 믿음에 답하고 있다.

최중섭 CISO는 KISA 해킹대응팀장과 개인정보침해사고점검팀장 등을 지낸 보안전문가로 2012년 네오위즈 지주사의 보안실장으로 취임했다. 당시 네오위즈는 지주사와 게임사, 벅스뮤직 등 계열사가 있었는데, 오직 게임사에만 보안팀이 운영되고 있었던 상황이었다. 최중섭 CISO는 “계열사에 별도의 보안팀은 없었지만, 평소 보안에 신경을 많이 쓴 흔적이 보였다”면서 A부터 Z까지 다시 기획한 것은 없었다고 설명했다.

“당시 네오위즈는 보안이 취약한 상황은 아니었지만, 별도의 거버넌스 체계가 필요한 상황이었습니다. 특히, 게임사를 제외한 계열사의 보안체계를 갖추는 것이 필요했죠. 그 체계를 갖출 컨트롤타워로 유닛이 만들어진 겁니다.”

이후 지주사는 지주업무만 담당하게 되면서 유닛은 네오위즈게임즈(현 네오위즈)로 이동하고, 다른 계열사의 보안을 통합해서 담당하게 됐다. 또한, 2013년 네오위즈게임즈의 보안실과 유닛이 합쳐지면서 지금의 네오위즈의 보안실로 자리를 잡았다.

게임사를 타깃으로 한 공격은 대부분 어뷰징 공격으로, 쉽게 설명하면 게임에서 허용하지 않은 방법이나 시스템의 허점을 이용해 결과를 조작, 부당한 이익을 얻는 것을 말한다. RPG 등의 게임에서 자동으로 사냥을 하도록 하는 ‘봇(Bot)’이나, 시스템을 해킹해서 게임 내 여러 수치를 마음대로 조정하는 ‘핵(Hack)’ 등이 어뷰징 공격이다.

또한, 사용자의 아이디와 패스워드를 다른 곳에서 구한 뒤, 게임 계정에 접속해 게임머니나 아이템을 몰래 강탈하는 계정 도용이나 내부 직원을 상대로 이메일을 통한 피싱 공격도 꾸준하게 발생하고 있다.

“사실 CISO들은 다 공감하겠지만, 보안에서 가장 중요한 것이 사람입니다. 특히나 직원들의 보안의식이 매우 중요하죠. 다행이 네오위즈 직원들은 보안의식이 매우 높아서 피싱 등 공격이 오면 바로 보안실에 통보하는 게 습관이 되다 보니까 별다른 피해 없이 공격을 막고 있습니다.”

최중섭 CISO는 직원들의 보안 참여를 위해 사기를 진작시키는 방법을 사용한다고 설명했다. “피싱 등의 공격을 보안실에 제보하면, 해당 직원이 속한 팀에 피자 등 간식을 제공합니다. 별 거 아니지만, 당사자는 동료들에게 뿌듯함을 느낄 수 있고, 또 동료들은 나도 해야겠다는 참여의식을 느끼게 되죠.”

이와 함께 보안뉴스 등 전문매체에서 보도되는 보안사고 등 관련 기사를 스크랩해 직원들에게 정보공유 하는 것도 최중섭 CISO가 강조하는 일이다.

“최근에는 보안인력 충원에 가장 큰 신경을 쓰고 있습니다. 특히, 신입사원을 모집하고 있는데, 실력도 물론 중요하지만 그것보다 기업문화와 다른 직원들과 잘 융화될 수 있는 사람을 뽑고자 합니다. 보안은 혼자 할 수 있는 일이 아니니까요.”

CISO로서 올해는 직원들과 더 소통할 수 있는 한해가 됐으면 한다는 최 실장은 조직을 구성하는 사람들과 소통이 잘 되어야 보안도 잘 될 수 있다고 강조했다.

“보통 기업의 경영진은 보안사고가 발생하면 보안책임자를 문책하는 경우가 많죠. 하지만 우리 네오위즈는 사고를 낸 사람이 잘못했다고 생각해 줍니다. 보안실이 열심히 할 수 있는 환경을 만들어 준거죠. 덕분에 6년여 간 큰 사고 없이 보안업무를 담당하고 있습니다. 올해는 직원을 충원해 보안실을 다시 정비하고 보다 안전한 네오위즈를 만드는 것이 목표입니다.”
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)