연보라 기자 bora@ciomediagroup.com 산업군별 정보보호 현황 기획 시리즈의 한 파트로 게임업체들의 정보보호 현황 취재를 기획했다. 소위 빅5라 불리는 국내 메이저 게임사들이 대상이었다. 넥슨, 엔씨소프트, 네오위즈게임즈, NHN, CJ E&M(넷마블)에게 컨택을 시도했으나 이들 중 취재에 응하는 곳은 없었다. 단 한 곳으로부터 다른 업체들에서 취재에 응했을 경우에 한해 서면 인터뷰로만 진행이 가능하다는 대답이 돌아왔을 뿐이다. 취재에 응하지 못하는 이유는 업체들이 거의 동일했다. ‘굳이 나서서 좋을 것 없다’는 것이다. 특히 게임업체는 해커들의 표적이 되기 쉽기 때문에 최대한 눈에 띄지 않는 것이 상책이라는 분위기가 업계에 팽배해 있다. 더구나 최근에는 넥슨의 ‘메이플 스토리’ 개인정보 해킹 사건까지 있었다. 넥슨의 서민 대표는 지난 3월 28일 경찰에 출석해 조사를 받았으며 현재 불구속 입건된 상태다. 서 대표가 경찰에 출두한 직후 넥슨 측은 부랴부랴 ‘2012 보안 강화 로드맵’을 발표했다. 아무래도 이번 게임사 빅5 기획이 시기적으로 좋지 않았다는 점에는 동의한다. 그리고 보안이라는 분야의 특성상 노출을 꺼릴 수밖에 없다는 점도 이해한다. 그러나 무조건 폐쇄성으로만 일관하는 태도는 장기적으로 보안 산업에 득이 될 것으로 보이지는 않는다. 이는 비단 게임사뿐만 아니라 금융, 공공을 비롯한 모든 산업군의 보안 부서에 해당되는 이야기다. 금융회사들은 전자금융거래법 시행령 개정에 따라 오는 5월 15일 전까지 정보보호책임자(CISO)를 임명해야 한다. 금융권 외의 다른 산업군들에서도 CISO 및 정보보호팀장을 임명하고 있는 추세다. 그러나 CISO가 국내에는 거의 처음 도입되는 만큼 CISO로 새롭게 임명된 이들에게는 롤 모델이 없는 셈이다. 현재 이들에게 갈급한 것은 ‘옆집은 어떻게 하고 있나’, 즉 ‘Peer to Peer(P2P)’일 것이다. 그러나 본인의 집 창문에는 커튼을 쳐두고 남의 집만 엿보려 한다는 것은 어려운 이야기다. 서로 허용 가능한 범위 내에서 오픈을 하고 서로 문제점을 공유할 때 새로운 아이디어나 개선책이 도출될 수 있는 것이고 보안 분야도 발전할 수 있다. 씨미디어그룹에서는 오는 5월 30일 CISO 교육과정을 개설할 계획이다. 지난 10년간 CIO 유니버시티를 운영해온 IT 팀장급들의 비즈니스 역량 강화에 기여해온 경험을 바탕으로 이번에는 CISO 교육을 통해 CISO 제도의 안착과 정보보호의 발전에 일조하고자 하는 것이 이번 교육 과정 개설의 취지다. 본 과정에는 전략, 기술 관련 커리큘럼과 더불어 토론 및 컨설팅 시간을 포함시켜 새롭게 임명된 CISO들에게 서로를 Peer to Peer할 수 있는 소통의 장을 마련했다. 그러나 정작 초대된 CISO들이 눈치만 보며 입을 꾹 다물고 있다면 의미가 없을 것이다. 정보공유의 문화가 어느 때보다 절실히 요구되는 시점이다. 최근 CISO 과정을 준비하면서 보안 산업 곳곳에 숨어있는 실력 있는 ‘은자’들을 만날 기회가 종종 있었다. 그 은자들은 딱히 대외적으로 드러내지 않고 묵묵히 본인의 업무를 수행해오고 있었다. 그런 모습이 존경스러워 보이기도 했으나 한편으로는 안타까운 마음이 들기도 했다. 최대한 자신을 부풀리고 알리는 것이 미덕이 이 시대에 그들이 과연 제대로 능력을 평가 받고 합당한 대우를 받고 있는가 하는 의문 때문이다. 그들이 한 발씩만 양지로 나와 날개를 펼친다면 보안 산업도 지금보다 조금은 더 앞으로 나아갈 수 있을 것이라는 생각이 든다.