지난해 국내 주요 게임사들이 역대급 실적을 기록했지만, 정보보호 투자에는 여전히 소극적인 모습을 보인 것으로 나타났다. 주요 게임사의 매출 대비 정보보호 투자 비율은 1%에도 미치지 못했고, 대다수가 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 동일인이 겸직하고 있었다. 최근 인공지능(AI)을 활용한 해킹과 개인정보 유출 사고가 잇따르는 가운데 수천만명의 이용자 정보를 보유한 게임사들이 관련 투자를 강화해야 한다는 지적이 나온다.
30일 한국인터넷진흥원(KISA)에 따르면 지난해 정보보호 투자액이 가장 많은 게임사는 넥슨코리아로 265억원이었다. 이어 ▲엔씨(146억원) ▲크래프톤(134억원) ▲컴투스(86억원) ▲넷마블(54억원) ▲카카오게임즈(37억원) ▲네오위즈(26억원) 순으로 나타났다. 과학기술정보통신부와 KISA는 매출 3000억원 이상 상장사와 일평균 이용자 수 100만명 이상 정보통신서비스 제공자를 대상으로 정보보호 현황을 매년 공시하도록 하고 있다.
문제는 정보보호 투자 규모가 회사 매출에 비해 여전히 낮다는 점이다. 넷마블은 지난해 매출이 2조8351억원으로 역대 최대를 기록했지만, 매출 대비 정보보호 투자 비율은 0.19%로 가장 낮았다. 넥슨코리아와 크래프톤은 지난해 매출이 3조원대를 달성하며 최대 실적을 기록했지만, 정보보호 투자 비율은 각각 0.85%, 0.40%였다. 그나마 1%를 넘는 게임사는 컴투스(1.24%)가 유일했다.
정보보호 전담인력 규모도 회사별 차이를 보였다. 전담인력이 가장 많은 곳은 넥슨코리아로 150명이었다. 이어 ▲엔씨(81명) ▲크래프톤(42명) ▲넷마블(33명) ▲컴투스(26명) ▲카카오게임즈(19명) ▲네오위즈(12명) 순이었다. 정보보호 전담인력은 보안 전략 수립과 침해사고 대응, 시스템 보안 운영, 취약점 관리 등을 담당한다. 전체 임직원 대비 정보보호 전담인력 비중으로는, 넷마블이 4.29%로 가장 높았다. 넥슨코리아와 카카오게임즈는 정보보호 전담인력 비율이 각각 3.58%, 3.89%로 3%대를 기록했다.
대다수 게임사에서 CISO와 CPO를 동일인이 맡고 있는 것으로 나타났다. 조사 대상 주요 게임사들은 CISO와 CPO를 모두 임원급으로 두고 있었지만, 카카오게임즈 CISO를 제외하고는 모두 겸직 중이다. 특히 크래프톤, 엔씨, 넷마블, 넥슨코리아 등은 CISO와 CPO를 한 명이 겸직하고 있는 것으로 나타났다.
현행법상 CISO와 CPO의 겸직은 가능하지만, 두 직책이 요구하는 역할과 전문성이 다른 만큼 이들의 독립성과 책임성이 강조되고 있다. CPO는 개인정보 처리와 보호, 관련 법규 준수, 정보주체 권리 보호 등 개인정보 거버넌스를 총괄하는 역할을 맡는다. 반면 CISO는 정보보호 전략 수립과 보안 체계 운영, 침해사고 대응, 시스템 취약점 관리 등 기술적 보안을 책임진다.
최근 전 세계적으로 생성형 AI를 악용한 해킹 수법이 고도화되고, 국내에서도 기업을 노린 랜섬웨어 공격과 개인정보 유출 사고가 잇따르면서 게임사들의 보안 역량 강화가 중요하다는 지적이 나온다. 게임사는 이용자의 개인정보를 대량으로 보유하고 있는 데다 게임 서버가 마비될 경우 서비스 운영에 차질이 발생해 실적에도 직접적인 영향을 미칠 수 있어 보안의 중요성이 커지고 있다.
게임업계 관계자는 "최근 해킹 공격이 과거와 비교하기 어려울 정도로 고도화되면서 정보보호의 중요성이 그 어느 때보다 커지고 있다"며 "게임사는 이용자의 개인정보와 게임 자산을 대량으로 보유하고 있는 만큼 관련 인력과 정보보호 투자를 지속적으로 확대해 나갈 계획"이라고 말했다.