8개 게임사 : 망분리, 외부에서 주요 시스템 접근 차단, 비밀번호 변경 등 보안 강화
대부분 데이터 유출방지 솔루션 도입해 모니터링 강화하면서 사용자 편의성은 극대화

[보안뉴스 기획취재팀] 온라인 게임 시장이 올해도 승승장구하고 있다. 2021년 18조 2,683억원을 기록했는데, 올해는 벌써 9조 9,125억원을 기록해 연말까지 20조 원을 돌파할 것이라는 전망이 나오고 있다. 하지만 보안위협 역시 가파른 상승곡선을 타고 있다. 증가하는 시장만큼 해커의 관심과 공격도 증가하고 있기 때문이다. 그렇다면 게임사는 늘어나는 보안위협에 어떻게 대응하고 있을까?

[보안뉴스 / 6.6.] 주요 게임사 8곳 보안 실태 조사결과 살펴보니

▲주요 게임사 8곳의 보안실태 관련 인터뷰 조사결과[자료=위메이드플레이]

위메이드플레이 김태열 팀장은 8개 주요 게임사를 대상으로 △망분리 △외부에서 사내 주요 시스템 접근 차단 △불법적인 접근 및 침해사고 방지 △P2P 및 공유설정 등을 통해 외부에 공유 △비밀번호 작성 규칙 및 변경 △최대 접속시간 제한 △악성프로그램 방지 보안통제 솔루션 설치 △출력/복사 보호조치 등에 대한 보안 실태를 조사했다고 밝혔다.

먼저 망분리는 1곳을 제외한 7개사 모두 도입해 운영 중인 것으로 조사됐다. 망분리와 관련해 김태열 팀장은 “자체적으로 망분리를 구현한 곳은 PC 2대를 지급(인터넷PC+망분리PC)해 NAC(네트워크 접근제어)을 통해 중요 업무 담당자(개인정보취급자 및 시스템접근자 등) PC IP를 고정했다”며 “방화벽 IPSEC VPN을 통해 AWS만 접근하도록 했다. 망분리 PC는 방화벽에서 인터넷회선 아웃바운드를 제어해 인터넷을 통제한다”고 밝혔다.

또한, AWS 클라우드 서비스를 이용하는 곳은 방화벽으로 외부에서 개인정보처리시스템 접근을 차단하고, 클라우드 서비스에서 제공하는 솔루션을 통해 해당 시스템 AWS의 워크스페이스를 이용해서 개인정보처리시스템에 접근하도록 했다고 덧붙였다.

기존 환경에서 인터넷 망분리를 적용한 곳은 메신저 및 이메일 첨부파일 등 모니터링을 강화하고, 네트워크 DLP 도입 등을 통해 보안을 강화했다. 특히, 사내메신저 이외에는 차단하거나 허용 부서에 대한 서비스 이슈를 체크하고, 신청자 USB 등 매체를 통한 파일 전송 등 이력 관리 강화, 자체 서버에 슬랙봇 등을 개발 적용해 증적 및 로그 강화를 했다는 게 김태열 팀장의 설명이다.

이어 외부에서의 사내 주요 시스템 접근 차단(법29조 및 고시4조) 솔루션은 공개하지 않은 1곳 빼곤 모두 도입했으며, 불법적인 접근 및 침해사고 방지를 위한 보안조치 역시 공개하지 않은 2곳을 제외한 6개사가 모두 도입해 운영하고 있는 것으로 조사됐다.

특히, 중요하면서도 긴급한 보안정책인 비밀번호 작성 규칙 및 변경(법 29조 및 고시4조)은 1곳을 제외한 7개사 모두 정책을 적용했다. 최대 접속시간 제한 등(세션유효시간 및 세션 idle 타입, 법29조 및 고시4조)도 공개하지 않은 1곳을 제외한 7개사 모두 적용한 것으로 조사됐다.

또한, 악성프로그램 방지 보안통제 솔루션 설치 등(법29조 및 고시8조)은 1곳을 제외하곤 모두 적용했으며, 출력/복사 보호조치(법29조 및 고시9조)는 부분적용을 포함한 4곳이 적용했고, 4곳은 미적용한 것으로 파악됐다.

[보안뉴스 / 6.6.] 주요 게임사 8곳 보안 실태 조사결과 살펴보니

▲PIS FAIR 2022에서 강연을 하고 있는 위메이드플레이 김태열 팀장[사진=보안뉴스]

조사결과와 관련해 김태열 팀장은 “비밀번호 변경을 위해 별도의 시스템을 통해 관리하고 있는지 확인했다”며 “최대 120일에 한번씩 비밀번호를 변경했고, 게임회사의 주요 IP 및 개인정보 외부 유·노출 등을 관리하기 위해 대부분의 회사는 DLP(Data Loss Prevention, 데이터 유출방지) 솔루션을 도입해 모니터링은 강화하면서 사용자 편의성은 극대화했다”고 밝혔다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>