“게임 회사가 개발자에게만 투자한다고 생각하면 오산이다. 개인정보 유출 등 보안 문제에 대응하고자 엔씨소프트는 보안 인력 양성을 위해 대학과도 올해 협력하기 시작했다. 게임에서 계정은 가상 세상 속 소비자의 분신이나 마찬가지다. 소비자를 지키기 위한 보안을 위해 우리는 미래에 투자하고 있다.”
코로나19를 계기로 온라인 활동이 늘면서 게임은 대표적인 비대면 문화생활로 자리매김했다. 그러나 큰 인기를 얻은 맛집도 손님이 너무 많아지면 고생하는 법. 접속사 수가 늘면서 게임 업계는 해커들의 표적이 됐다. 클라우드 보안 업체 아카마이 테크놀로지스에 따르면 2021년 1분기부터 올해 1분기 사이 게임 회사의 웹 애플리케이션(앱)을 향한 사이버 공격이 167% 증가했으며, 전체 디도스(DDoS·분산서비스 거부) 공격의 37%가 게임 업계를 목표로 하고 있다.
보안의 중요성이 커지면서 게임 업계는 보안 인력을 적극적으로 채용하는 등 관련 대응 체계를 정비하고 있다. 엔씨소프트는 특히 보안 시스템 전반을 강화하기 위해 장기적인 투자를 지속하고 있다. 회사는 2020년 개인정보보호실 조직을 신설하며 외부에서 보안 전문 인력 8명을 대대적으로 영입했다. 또 장기적으로 관련 인재를 안정적으로 수급한다는 계획에 따라 지난 6월엔 고려대 정보보호대학원과 개인정보보호 인력 양성을 위한 업무 협약을 체결했다. 게임 업계뿐 아니라 전체 산업 중 처음이다.
엔씨소프트에서 개인정보 관련 보안 업무를 총괄하는 박의원 개인정보보호책임자(개인정보보호실장·상무)를 지난 8월 경기 판교 사무실에서 만났다. 지마켓(이베이)에서 15년간 보안 업무를 맡으며 최고보안책임자(CISO) 자리까지 올랐던 그는 2020년 엔씨소프트로 이직하며 게임 업계에 발을 디뎠다.
ㅡ개인정보보호 등 보안에 대한 업계 관심이 높아졌다.
“비대면 문화가 확산하는 가운데 ‘이루다’ 인공지능(AI) 챗봇 등을 계기로 온라인상 개인정보 유출에 대한 소비자 관심이 어느 때보다 높아졌다. 개인정보가 인격권이라는 것을 소비자가 인지하고 자신의 권리를 당당하게 주장할 수 있게 됐으며 ‘프라이버시’가 사회적 화두가 됐다. 보안에 대한 소비자의 인식 수준 자체가 높아지고 있다 보니 기업도 여기 대응책을 마련할 수밖에 없는 것이다. 최근 개인정보보호책임자 등 관련 인력 채용이 게임 포함 전 업계에서 활발해진 것만 봐도 이를 확인할 수 있다.”
ㅡ특히 게임 업계가 개인정보 보호 등 보안에 민감하게 반응하는 이유는.
“개인정보가 단순히 온라인에 적힌 숫자 몇 개가 아닌 나의 인격을 나타내는 중요한 재산이라는 것을 소비자가 인지하면서 프라이버시가 중요해지지 않았나. 특히 다중접속온라인역할수행게임(MMORPG) 게임에서 소비자의 캐릭터는 그들의 인격을 넘어 가상 세계에서의 존재 자체를 대신하는 분신이다. 아이디와 비밀번호가 노출되면 내 분신이 사라지는 것이다. 개인정보 유출 시 저항이 다른 업계 소비자보다 클 수밖에 없다. 과거 15년간 몸담았던 전자상거래 업계와 비교해도 소비자가 느끼는 상실감은 게임 업계가 훨씬 크다.”
ㅡ과거 전자상거래 업계에서의 보안 관리 경험과 비교한다면 게임 업계에서 개인정보 보안이 갖게 되는 의미는.
“게임업계가 더 적극적으로 소비자 개인정보 보안에 나설 수 있는 배경에는 다른 업계와의 수익구조 차이가 있다. 소비자의 개인정보를 많이 가지고 있다고 해서 회사의 수익이 늘어나는 것도 아닌데 유출 시 소비자 불편은 크다 보니, 더 면밀하게 관리한다.
예컨대 전자상거래 업체와 게임 업체를 비교해보자. 전자상거래 업체엔 개인정보를 기반으로 한 광고가 주된 사업 모델이다. 최대한 많은 소비자의 개인정보를 수집해 AI에 학습시켜 이들에게 맞는 상품을 추천하고 광고를 제공하면서 돈을 벌고 있다. 즉 소비자의 정보는 광고주의 것이 되는 셈이고 곧 돈이 된다.
반면 게임 업체는 광고 대신 콘텐츠가 수익을 가져다주기 때문에, 소비자 정보를 활용해 광고를 제공하지 않는다. 로그에 저장되는 소비자의 기록들은 게임 콘텐츠나 AI 최적화에 활용될 뿐이다. 그렇기에 기본적으로 유통업체들은 더 많은 소비자 개인정보를 계속 얻으려고 하고 게임은 그렇지 않다.”
박 실장은 게임 업계가 광고주 등 외부 이해관계자의 간섭을 떠나 보다 적극적으로 소비자 개인정보 보안 활동을 할 수 있는 배경을 이렇게 설명했다. 개인정보에 대한 소비자 민감도는 높아 철저한 보안을 요구받지만, 이를 여타 기업처럼 ‘꼼수’를 부려가면서까지 수집할 이유도 없다는 것이다. 엔씨소프트가 개인정보 자기통제권 보장을 확대하고 있는 배경이기도 하다. 반면 최근 광고 수익에 의존하고 있는 구글과 페이스북의 모기업인 메타는 맞춤형 광고를 제공하기 위해 소비자의 적법한 동의 없이 개인 정보를 불법으로 수집해 개인정보보호위원회로부터 1000억원의 과징금을 부과받기도 하는 등 이는 여러 기업에 문제가 되고 있다.
ㅡ개인정보 보호를 위해 장기적인 투자를 확대하고 있다고 들었다.
“2020년 개인정보보호실을 신설하고 외부에서 인력을 추가 채용했다. 개인정보보호 교육도 올해는 전 직원에게 확대하는 등 회사 전반에서 이러한 보안 강화 기조를 유지하고 있다. 특히 지난 6월엔 고려대 정보보호대학원과 개인정보보호 인력 양성을 위한 업무 협약을 체결하기도 했다. 학교와 함께 개인정보보호 산합협력위원회를 설립하고 관련 실무 특강과 인턴십을 준비하는 등 협력할 예정이다. 기업 실무와 학교 이론이 동떨어진 상황이기에, 회사로 와서 바로 보안 업무를 담당할 수 있는 인력을 회사가 학교와 함께 양성하기 위해 미래에 베팅한 것이다.
교육에 대한 투자는 지금 당장 수익으로 돌아오지 않는다. 회사도 그 점을 알고 있다. 그러나 그만큼 보안의 중요성을 체감하고 있기에 과감히 미래를 위해 투자한 것이다. 보안은 중요하지만 여전히 관련 인재를 제대로 교육하는 시스템이 없으며, 결국 각 기업에서 인력을 채용해 도제식으로 신입을 가르치는 수준에 머물러 있다.
게임 업체엔 개발자나 디자이너도 중요하지만, 소비자의 권리를 책임지는 보안 담당자도 이젠 중요한 존재가 됐다. 좁은 인재 풀에서 계속 사람을 구하는 데 머무르지 않고 엔씨소프트, 그리고 게임에 특화된 보안 인력을 직접 기르겠다.”