엔씨소프트, Microsoft 365 E5 권한 중심의 보안 환경 구축으로 더 나은 협업 문화 뿌리내려

엔씨소프트는 대한민국을 대표하는 게임 개발 및 서비스 회사입니다. ‘리니지', ‘블레이드&소울’, ‘아이온’ 등 다수의 MMORPG를 개발, 운영해 왔고, 최근에는 블레이드 & 소울의 세계관을 확장한 ‘호연’을 서비스하면서 글로벌로 인기를 누리고 있습니다. 또한 인공지능, 클라우드 등 미래 기술 투자에도 적극적으로 나서며 게임 산업을 넘어 다양한 분야로 사업 영역을 확장하고 있습니다.

엔씨소프트는 서비스 영역이 크고 넓어지면서 보안에 대해 많은 노력과 투자를 하고 있습니다. 서비스와 개인정보에 대해 최고 수준의 보안으로 신뢰도를 높였고 지속적으로 새로운 보안 트렌드를 반영하면서 안정적인 서비스를 이어 왔습니다. 보안에 대해 타협하지 않는 정책은 이용자들에게 긍정적이지만 상대적으로 개발과 운영을 맡는 임직원들에게는 때로 어려움으로 작용할 수 있습니다. 보안이 갖는 이면성입니다.

오랫동안 엔씨소프트의 기본 보안 정책은 물리적인 망 분리를 기반으로 했습니다. 모든 게임 서비스는 각각의 네트워크를 통해서 개발이 이뤄졌고, 인터넷 망이나 다른 서비스와는 완전하게 다른 네트워크에서 운영됐습니다. 이 방법은 혹시라도 한 곳에서 보안 사고가 일어난다고 해도 다른 서비스에는 영향을 받지 않는다는 큰 강점이 있습니다.

그러다 보니 직원들은 각 서비스마다 PC를 따로 마련해야 했고, 그에 따르는 보안과 커뮤니케이션 정책에도 영향을 받았습니다. 여러 게임 서비스에 걸쳐서 업무가 이뤄지는 경우에는 책상에 6~7대씩 PC가 놓이는 경우도 많았습니다. PC가 너무 많다 보니 사무실이 덥다는 이야기가 나올 정도였습니다.

“게임 환경이 점차 글로벌로 확장되면서 협업의 중요성이 늘었는데, 망 분리 보안 정책은 협업에서도 고민거리였습니다. 과거에는 게임이 대부분 국내를 중심으로 서비스됐고, 해외 시장은 특정 국가에 진출하는 정도였습니다. 국내와 해외 게임은 인프라가 분리되어 있고 각자의 독자적인 정책에 따라 운영되기 때문에 실제 운영에서 서로의 연결 고리는 거의 없었습니다.”

박재민 정보보안 센터 PMO팀 팀장은 보안은 단순히 공격을 막는 것이 아니라 미리 트렌드에 맞는 환경을 준비하는 것이라고 설명합니다. 엔씨소프트가 오랫동안 이어 온 망 분리 정책은 물리적으로 매우 안전한 방법이었습니다. 하지만 최근의 글로벌 게임 정책은 하나의 게임 빌드로 전 세계가 동시에 런칭이 되다 보니 해외 지사부터 서드파티나 파트너 등 협업해야 하는 상황이 많았습니다. 새로운 형태의 통합 보안 환경이 필요한 상황이었습니다.

기존의 보안이 Active Directory의 권한 관리를 기반으로 이뤄졌기 때문에 이를 고도화하는 방법을 검토했습니다. Entra ID를 중심으로 하는 Hybrid ID 환경으로 분리된 네트워크들을 통합하고 그 안에서 더욱 강력한 권한 관리가 이뤄지는 제로 트러스트 환경을 갖추기로 방향성을 정했습니다.

제로 트러스트는 사용자에 대한 자격 인증을 통해 적절한 권한 안에서만 움직이도록 합니다. 서비스의 유형을 세세하게 그리고 그 안에서 권한을 갖는 사람을 정확하게 구분하는 것이 핵심입니다. 네트워크 안에 들어오는 것을 제어하는 경계 보안이 아니라 사람과 디바이스의 권한 수준을 지속적으로 체크하는 것이 이 제로 트러스트의 출발점입니다.

엔씨소프트는 Entra ID의 다단계인증(Multi Factor Authentication)을 통해 이용자를 안전하게 확인합니다. Entra ID는 암호 외에도 휴대폰을 통한 접속 코드나 생체 인식, 하드웨어 키 등 엄격한 로그인 정책을 갖고 있지만 불필요한 제한을 두지 않기 때문에 기기나 위치에 대한 제약을 덜어낼 수 있습니다.

이는 내부에서만 이뤄지는 것이 아니라 외부 파트너나 프리랜서들과 협업하는 과정에서도 적절한 권한을 제공하는 것으로 보안에 대한 우려를 덜어낼 수 있었습니다. 단순히 하나의 보안 솔루션에 모든 것을 맡긴 뒤 문을 활짝 열어주는 것이 아니라 지속적으로 이용자를 확인하고, 인가된 기기에서 안전한 상태로 연결되는지 확인할 수 있었습니다.

이를 통해서 기존의 분리망을 통합할 수 있게 됐습니다. 현재는 특성에 맞는 소수의 네트워크로 업무가 이뤄집니다. 망에 접근할 때마다 PC들의 수준과 상태를 확인할 수 있기 때문에 물리적으로 네트워크를 분리하지 않아도 다른 영역에 접근하는 것이 불가능합니다.

현재 엔씨소프트의 직원들은 대부분 한 대의 PC로 여러 가지 프로젝트를 함께 진행합니다. PC와 IP로 구분하는 것이 아니라 Entra ID의 이용자 중심 권한 관리를 통해 하나의 PC로도 구분이 이뤄지기 때문에 가능한 일입니다.

제로 트러스트 환경에서 가장 중요한 것은 모니터링입니다. 네트워크에 접속하고 어떤 일을 할 수 있는지에 대한 통제 뿐 아니라 해당 이용자가 어떤 권한으로 어떤 접근을 하고 있는지 실시간으로 계속 살필 수 있어야 합니다. 이전에는 로그인 이후의 활동에 대해서는 실시간으로 보기 어려웠고, 각각 세부 서비스마다 관리 방법이 달라서 전체 모니터링과 통제는 불가능했습니다. 네트워크나 디바이스처럼 구분이 쉬운 분리 방법이 일반화됐던 것도 이런 이유입니다.

Entra ID는 조건부 액세스(Conditional Access) 정책을 통해 이용자의 국가, 지역, IP 등을 지속적으로 살피고 일반적이지 않은 상황에서 특정 서비스에 접근하려고 할 때는 추가 인증을 통해서 정상 접근을 확인합니다. 조건부 액세스는 실시간으로 이용자의 활동과 네트워크, 애플리케이션 활동을 모니터링하고 제어하기 때문에 접속된 이용자들의 움직임에 대해서도 보안의 신뢰도를 높일 수 있습니다.

“기존의 망 분리는 일단 보안을 한 번 통과하면 ‘이 PC는 안전하다’는 전제하에 움직입니다. 하지만 제로 트러스트는 권한을 받은 이후에도 모니터링을 통해서 안전성을 지속적으로 검증합니다. 해당 계정이 비정상적인 움직임을 보이거나 평소에 하지 않던 행동을 하고, 물리적으로 불가능한 위치 변화가 일어나는 등 다양한 시나리오들이 지속적으로 관리됩니다.”

김민겸 엔지니어는 Entra ID를 통해 보안 환경의 지속적인 실시간 모니터링이 관리되면서 운영의 안정성은 높아지면서도 현업의 업무는 더 매끄럽게 이뤄지고 있다고 말했습니다. 전통적으로 보안이라고 하면 대체로 제약이 많고, 보수적인 접근이 이뤄지는 경우가 많은데, Entra ID를 중심으로 한 제로 트러스트 환경이 구축되는 과정에서 더 유연하게 많은 부분을 받아들일 수 있게 됐다는 설명입니다.

복잡하고 세세하게 복잡한 조건을 거는 것이 아니라 명료하고 단순하게 할 수 있는 일들을 정리하는 것이 새로운 보안 정책이 흐르는 방향입니다. 데이터에 대한 보안 등급을 나누어 운영하는 것도 각 이용자들의 권한으로 할 수 있는 일들을 미리 나누어서 권한에 맞는 일만 할 수 있도록 하는 것입니다. 박재민 팀장은 마이크로소프트 365 E5을 통해 권한에 맞는 등급을 치밀하게 나누는 것이 새로운 보안 정책을 성공시키는 핵심이라고 말했습니다.

“모든 데이터, 정보에 대해서 세부 등급을 매겼습니다. 업무를 통해 만들어지는 모든 데이터가 보관되는 과정에서 적절한 등급이 매겨집니다. 어떤 사람들이 볼 수 있다고 특정하는 것이 아니라 정보 자체가 등급을 갖고 그 권한을 갖는 사람만 볼 수 있기 때문에 보안은 더 단단해졌고 정보의 관리와 공유도 더 유연하게 이뤄졌습니다.”

신작 게임을 준비하는 동안에는 모든 정보들이 최고 기밀 수준으로 관리됩니다. 하지만 적절한 시기를 맞아 일부 정보가 공개되기 시작하면 어떤 정보들은 보안의 의미가 낮아지게 됩니다. 더 많은 구성원들에게 공개하는 것이 나은 상황이 되는 셈인데, 이때 특정인에게 권한을 더 주는 것이 아니라 정보의 보안 등급을 낮추면 됩니다.

접근 권한이 명료해지기 때문에 재택 근무나 출장시에 업무도 훨씬 매끄러워졌습니다. 이전에는 PC 자체가 하나의 보안이었기 때문에 이를 반출하는 것에 대해서 엄격했지만 이제는 마이크로소프트 365 E5의 보안 솔루션으로 관리되는 PC는 별도의 승인이 없어도 외부에서 업무를 처리할 수 있게 됐습니다. 이는 결국 더 나은 일하는 환경으로 이어졌다는 것이 박재민 팀장의 설명입니다.

"현업의 만족도는 높습니다. 보안에 대한 부분은 쉽게 체감되지 않는 경우가 많은데 Entra ID는 개개인이 신경 쓸 부분을 최소화하면서도 더 철저히 관리되고 보안적인 측면에서도 유리해졌습니다. 마이크로소프트의 보안 솔루션은 보안이 집중해야 할 부분에 대한 정책을 세우는 데 큰 도움이 되었고, 결과적으로 글로벌 서비스의 협업이라는 중요한 트렌드를 안착할 수 있게 됐습니다.”

엔씨소프트의 노력은 2023년 정보보호 대상에서 과학기술정보통신부 장관상을 받으면서 그 완성도를 인정받기도 했습니다. 하지만 엔씨소프트 보안 환경의 진화는 아직 현재 진행형입니다. 보안은 솔루션 한 두 가지로 단숨에 전환되는 것이 아니라 지속적인 트렌드를 따르는 것이기 때문입니다. Entra ID를 비롯한 마이크로소프트의 E5 서비스는 보안에 대한 정책과 서비스를 꾸준히 제안해 주어서 최신의 보안 흐름을 꾸준히 따를 수 있는 기회가 마련되고 있습니다. 엔씨소프트와 마이크로소프트의 보안 파트너십이 지속적인 가치를 만들어가는 과정인 것입니다.