1일 게임업계에 따르면, 넷마블은 현재 보안‧개인정보 분야에서 ISMS-P(정보보호·개인정보보호 관리체계 인증), ISO 27001·27017·27018·27701(국제 정보보호·클라우드·개인정보 관리 인증), APEC CBPR(국경 간 개인정보보호 인증) 등을 획득하고 있다.
그럼에도 가장 낡고 관심 밖인 구역에 빈틈은 있었다. 이번 공격은 국내 PC 포털 및 이와 연계된 PC방, 임직원 정보가 모여 있는 지점에서 이뤄졌다.
관건은 사고 영역이 애초에 보안 인증 관리 범위 안에 들어가 있었는지 여부다. 넷마블이 현재까지 대외적으로 공개한 인증 범위는 ‘위탁사 계약, 인프라, 네트워크, 서버, 보안 시스템 솔루션’ 정도로 요약된다. 한국 PC 포털과 PC방·직원 시스템이 실제 심사·점검 대상이었는지, 아예 범위 밖에 놓여 있었는지 알 수 없는 구조다.
업계 안팎에선 재발 방지를 위해선 ‘공개 정보의 투명성을 강화할 필요가 있다’고 주장한다. 현재 대다수 디지털 서비스 기업 공시는 단순히 ‘어떤 인증을 몇 개 갖고 있다’라는 숫자 보여주기에 집중돼 있다. 외부에서 어떤 서비스·시스템이 인증·점검 대상인지, 어떤 시스템이 범위 밖 ‘사각지대’로 남아 있는지, 계정·PC방·임직원 정보 같은 민감한 데이터를 어느 시점에 삭제하는지 여부를 알 수 없다.
문제는 게임이 다른 업종에 비해 보안 문제에 특히 취약하다는 점이다. 일반 서비스 업체가 주로 고객·직원 정보에 집중돼 있다면, 게임사는 여기에 더해 이용자 계정, PC방·가맹점(매장·사업자 정보), e스포츠 팀·스트리머·지적재산권(IP) 협업 파트너(콘텐츠·계약 정보), 전·현직 직원·외주 인력(인사 정보)까지 한데 뒤섞여 있다. 한 번 구멍이 나면 여러 갈래의 정보가 동시에 빠져나가기 쉬운 구조다.
게임 특유의 서비스 방식도 위험을 키운다. 게임 계정은 ‘언젠가 다시 접속할 수 있다’는 전제 아래 운영되는 경우가 많아, 3년·5년·10년 동안 접속이 없는 휴면 계정이 그대로 쌓이기 쉽다.
게임업계 관계자는 “(보안 인증 범위를) 서비스·시스템 단위로 가능한 한 구체적으로 공개하고, 이번 심사에서 빠진 오래된 포털·PC방 프로그램·외주 시스템 같은 영역은 ‘범위 외 시스템’으로 분리해 보여줘야 한다”며 “장기 미접속 계정 비율, PC방·가맹점·직원·협력사 데이터의 보관 기간과 실제 삭제·익명화 실적 등 기본적인 지표도 함께 제시할 필요가 있다”고 말했다.
해당 움직임에 비교적 적극적인 곳은 컴투스다. 컴투스는 ISO 27001 인증 범위를 ‘게임 서비스 개발 및 운영 관련 정보보호 관리체계’, ISMS 범위는 ‘온라인·모바일 게임 서비스(심사받지 않은 물리 인프라 제외)’라고 적어두고 있다. 적어도 어떤 물리 인프라가 심사 대상에서 빠져 있는지까지는 외부에서 확인할 수 있다. 인증의 ‘갯수’가 아니라, 인증이 실제로 어디까지 닿는지 일부나마 보여주는 방식이다.
한영훈 기자han@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
