[디지털데일리 권하영기자] 민감한 사용자 데이터와 금융 정보가 모이는 게임 기업은 어떻게 신뢰할 수 있는 보안 모델을 구축할 수 있을까?

대표작 ‘리니지’로 유명한 게임사 엔씨소프트는 11일 서울 종로구 마이크로소프트(MS) 본사에서 열린 ‘MS AI 트랜스포메이션 위크’에서 MS 보안 솔루션을 바탕으로 최신 보안 트렌드인 ‘제로트러스트(Zero Trust)’ 아키텍처를 도입한 경험을 공유했다.

제로트러스트는 ‘누구도 신뢰하지 않는다’는 원칙으로 모든 사용자와 기기 및 네트워크 트래픽에 대해 끊임 없이 신뢰성을 검증하는 보안 모델이다. 신뢰 가능한 영역을 구분 짓는 기존의 경계 기반 보안 모델 한계를 보완함으로써 최근 각광받고 있다.

박재민 엔씨소프트 팀장은 이날 ‘엔씨소프트의 제로트러스트 공략법’ 주제 발표에서 “보통 여러 게임마다 동시다발적으로 개발이 이뤄지는데, 게임별로 개발망과 인터넷망을 따로 사용하다보니 여러 대 PC를 사용해야 하는 내부 임직원들의 불만이 많았고 IT 인프라 비용도 계속 상승했다”며 제로트러스트 도입 배경을 밝혔다.

그러면서 “이제 글로벌 시장에 진출하며 20여개 이상 글로벌 기업들과 협업을 하다보니 SaaS(서비스형소프트웨어) 이용이 활성화될 수밖에 없었고, 그에 따른 안정성을 확보해야 하는 미션도 있었다”고 덧붙였다.

이에 엔씨소프트는 MS의 ‘엔터프라이즈 모빌리티&시큐리티(EMS)’ E5 라이선스를 도입해 보안 체계를 구축하기 시작했다. 2019년부터 마스터플랜을 수립해 제로트러스트 모델을 구축하고 일부 업무에 적용하는 1단계 도입을 거쳐, 2022년부터 현재까지는 보완점을 개선하며 적용 시스템을 확대하는 2단계에 돌입한 상태다.

박 팀장은 “2019년 당시 사내 인터뷰를 바탕으로 보안 니즈를 파악해 ▲최고기밀 등급 서비스 ▲해외지사 협업 ▲서드파티 협업 ▲임직원 원격근무 등 네 가지 시나리오를 만들었고, 이에 따라 MS의 EMS를 활용해 사내 IT 자원에 대한 체계적인 통제 기반을 마련했다”며 “MS EMS를 선택한 이유는 액세스 관리부터 디바이스 관리, SaaS 애플리케이션이나 오피스 문서에 대한 전체 통제가 가능했기 때문”이라고 설명했다.

이를 바탕으로 제로트러스트 기술 기반 보안 아키텍처를 개발한 엔씨소프트는 네트워크 기반으로 분리돼 있던 업무환경을 통합하고, 오피스 환경의 클라우드 마이그레이션을 진행했다. 또한 개인 모바일 기기 이용이 증가하며 모바일 보안에 대응하기 시작했고, 더불어 안전한 글로벌 협업 환경을 구축했다.

박 팀장은 “이러한 1단계 제로트러스트 도입 결과, 직원 95%의 긍정 평가를 받았고 글로벌 ESG 리스크 평가 보안영역에서도 글로벌 상위 1%를 달성했다”고 전했다.

물론 1단계 과정에서 도전과제도 있었다. 제로트러스트 구현을 위해서는 가장 먼저 데이터 및 서비스의 명확한 분류체계가 필요했고, 기존 보안 장비와의 연동 문제도 있었다. 또한 선행 레퍼런스 자체가 많지 않은 상황에서, 클라우드와 달리 엔씨소프트의 대부분 서비스가 작동되는 온프레미스 영역에서는 여전히 원하는 보안 수준을 확보하기가 어려웠다는 설명이다.

이에 엔씨소프트는 2022년 2단계 작업에 착수했다. 바로 ‘마이크로 세분화(Micro-Segmentation)’ 체계를 구축하는 것이었다.

마이크로 세분화 체계는 데이터의 등급과 유형을 분류한 다음, 보유한 데이터 기반 서비스의 등급을 분류하고, 이렇게 구분된 서비스 등급별로 보안 통제 정책을 다르게 적용하는 작업이다. 박 팀장은 “이렇게 데이터의 중요도에 기반한 관리체계를 통해 보안 관련 의사결정을 내릴 때 신속하게 결정하게 됐을 뿐만 아니라, 데이터 기반의 일관성 있는 결정이 가능해졌다”고 말했다.

박 팀장은 “과거에는 아이디와 패스워드로 내부에 들어오면 사내 모든 서비스를 이용할 수 있었지만, 이제 제로트러스트가 적용돼서 사용자 위치나 디바이스 유형 또는 접근 권한에 대해 동적체크를 해서 사전에 정의된 데이터 분류에 따라 접근 범위를 통제할 수 있게 되는 게 우리가 그리는 제로트러스트의 최종 그림”이라고 강조했다.

이어 “기존에는 회사에서 비즈니스 니즈가 높고 리스크가 높았던 애플리케이션에 대한 외부 접근 통제부터 우선적으로 제로트러스트를 적용했다면, 지금은 데이터 등급 체계가 갖춰졌기 때문에 최종적으로는 최고기밀 등급 전체를 대상으로 제로트러스트를 적용해 어떤 시스템의 유형에 상관 없이 동일한 정책을 적용하기 위해 추진 중”이라고 밝혔다.