'정보보안 상위 1%' 엔씨소프트, '제로 트러스트' 선제 도입 효과 주목

[아이뉴스24 박예진 기자] 사이버 공격이 지능화되고 보안의 중요성이 높아지면서 '제로 트러스트(Zero-Trust)'를 선제적으로 도입한 엔씨소프트가 그 효과를 톡톡히 누리고 있다. 대외 신뢰도가 상승하고 비용도 절감한 것이다. 제로 트러스트는 신뢰를 '0'에 놓고 끊임없이 보안성을 검증한다는 뜻으로 '그 무엇도 검증하기 전까지는 신뢰하지 않는다'는 글로벌 보안 패러다임이다.

17일 엔씨소프트(이하 엔씨)는 선제적인 보안 모델 도입으로 코로나 팬데믹에 따른 보안 리스크를 최소화하는데 성공했다고 자평했다. 엔씨 관계자는 "지난해 재택근무가 늘어 보안 누수가 발생할 수 있는 환경이었는데도 발빠른 시스템 구축으로 편의성과 보안성을 모두 확보했다"고 설명했다.

앞서 엔씨는 2019년 글로벌 보안 트렌드인 제로 트러스트 모델을 도입했다. 제로 트러스트는 수시로 변화하는 기기·사용자나 서비스 상태에 따라 보안 신뢰도를 결정하며, 모든 사용자 행위를 실시간으로 모니터링해 이상 행위를 즉각 판별 가능하다는 점이 특징이다.

도입 당시 엔씨 정보보안센터는 미국표준기술연구소(NIST)가 'SP 800-207' 보고서를 통해 구현한 제로 트러스트모델의 가이드라인 7가지를 재해석해 엔씨만의 자체 보안 아키텍처를 구축했다.

엔씨 정보보안센터는 재해석한 가이드라인 원칙 중 ▲사용자 인증 ▲기기 인증 ▲권한 관리 등 3가지 이슈를 최우선 고려사항으로 꼽았다. 사용자와 기기의 보안 수준을 검증하고 이에 따라 개별 서비스에 접속할 수 있는 권한을 차등 부여하는 것이 핵심이다.

엔씨측은 "팬데믹 이후 재택근무가 활성화하면서 해커가 침입할 수 있는 경로가 다양해지고 기업도 보안 관점에서 관리, 통제할 변수가 늘어났다"면서 "엔씨는 선제적으로 글로벌 보안 모델을 도입한 덕분에 빠르게 변화하는 환경에서도 보안 리스크를 최소화할 수 있었다"고 설명했다.

제로 트러스트를 통해 망 통합에도 성공했다. 과거 엔씨는 개발망과 인터넷망을 분리한 '망 분리' 방식을 채택해 데이터를 보호했다. 이 방식은 안정적 보안 환경 대신 망 사이 데이터 이동이 힘들어 조직 간 협업이나 최신 기술 도입이 어렵다는 문제가 있었으나 제로 트러스트 모델로 보안과 망 문제를 동시에 개선했다.

이 같은 노력으로 엔씨소프트는 지난해 글로벌 ESG평가기관 '서스테이널리틱스'가 발표한 ESG 리스크 평가에서 12.2점으로 로우(낮음) 리스크 등급을 받기도 했다. 이는 개인정보보호과 정보보안 측면에서 글로벌 상위 1%에 해당한다는 의미다.

엔씨 관계자는 "앞으로 엔씨는 제로 트러스트의 모든 구현 원칙을 충족하는 아키텍처를 개발하는 방식으로 사각지대가 없는 보안 체계를 구축해 나갈 것"이라고 말했다.