[넷마블은 ESGing] (4) 안전한 보안환경에서 개인정보를 관리하는 중!

ESG · 모두의ESG

2022.01.11

채널 넷마블 독자 여러분, 안녕하세요? 새해를 맞아 독자 여러분께 더욱 알찬 넷마블 소식을 전해드려는 마음을 다잡은 채널 넷마블! &lt;넷마블은 ESGing&gt; 그 네번째 이야기로, 많은 게이머분들을 포함해 넷마블을 사랑해주시는 분들이 믿고 맡겨주시는 소중한 개인정보를 넷마블이 어떻게 보호하고, 관리하는지 전해드리려고 합니다.

&nbsp;

<h2 style="margin-top: 17px; margin-bottom: 17px;"># 개인정보를 안전하게 관리하는 것이 왜 ESG 경영일까요?</h2>

ESG의 G (Governance, 지배구조)는 앞서 이야기 나누었던 사회와 환경에 관한 문제를 해결하려는 기업의 &lsquo;사람들&rsquo; 즉 리더, 이사회, 이해관계자 모두를 아우릅니다. 기업의 잠재적인 위기요소와 위협을 잘 관리하여 지배구조를 탄탄하게 하는것이 사회와 환경을 위한 기업행동에 중요한 시너지가 된다는 것이죠.

&nbsp;

150개 이상 국가를 대상으로 게임을 운영하고 있는 글로벌 퍼블리싱 기업인 넷마블! 넷마블은 글로벌 경쟁력을 갖추기 위해 정보보안을 위한 역량이 얼마나 중요한지 잘 인지하고 있습니다. 이에 따라 국내외 개인정보보호 법제 준수를 위해 Global Privacy Compliance 및 ISO 규격을 충족하는 전사 정보보호 규정 및 지침을 수립하여 체계적인 정보보호 업무를 수행하고 있습니다. 또한, 감사실의 내부감사를 통해 내부 보안정책 준수 및 이행현황을 주기적으로 확인 및 관리하고 있답니다.

넷마블은 사내 정보보호 최상위 정책서인 정보보호규정을 통해 정보보호에 관한 목표와 방향을 제시함으로써 이를 참고하는 모두가 정보보호에 같은 방향성을 갖도록 기여하고 있습니다. 정보보호규정 하위에 인원보안, 외부자보안, 비밀정보보호, 시설보안, 통신 및 사무기기 보안, 보안감사 및 보안점검 등의 절차를 설명하는 일반보안업무 지침, 회원 및 임직원의 개인정보를 수집&middot;이용&middot;관리함에 있어 지켜야 할 세부 사항들을 설명하는 개인정보보호 지침과 더불어 정보시스템보안, 위치정보보호 등 여러 분야에서 소중하게 지켜져야할 보안 지침서를 마련하여 전사적인 보안 규정을 관리하고 있습니다.&nbsp;

또한 정보보호 정책 달성을 위한 단계적 접근 방식을 명시한 3개의 절차서(정보자산 위험관리절차서, 응용프로그램 보안절차서, 비상상황 대응절차서)를 보유하고 있습니다.

&nbsp;

<h2 style="margin-top: 17px; margin-bottom: 17px;">#넷마블은 이용자의 개인정보보호를 위해 어떤 노력을 하고 있나요?</h2>

넷마블은 이용자에게 서비스를 제공하기 위해 수집하고 이용하는 개인정보 관리 기준을 명시한 개인정보처리방침을 보유하고 있습니다. 이에 따라 이용자 동의를 기반으로 개인정보를 수집&middot;이용 및 제공하며, 정보통신서비스제공자가 준수하여야 하는 대한민국의 관계 법령 및 제도를 성실히 준수하고 있습니다.&nbsp;

&nbsp;

넷마블은 각종 보안 위협으로부터 주요 정보자산을 보호하기 위해 다양한 노력을 하고 있으며, 이에 대해 국내외 관련 기관으로부터 정보보호 체계를 인증 받고 있습니다. 2015년 정보보호(ISMS) 및 개인정보보호 관리체계(PIMS) 인증을 최초 취득하였으며, 2020년 ISMS-P 인증을 신규 취득하여 유지하고 있습니다. 또한, 2015년부터 ISO 27001 인증을 취득하고 있으며, 법정의무를 준수하고 정보보호 및 개인정보보호 활동에 대한 대외 신뢰도 강화를 위해 2021년 ISMS-P 인증과 ISO/IEC 27001 인증 유지를 위한 심사를 받았습니다.

&nbsp;

<h2 style="margin-top: 17px; margin-bottom: 17px;"># 넷마블의 정보보호 문화 조성은 어떻게 이루어지고 있나요?</h2>

기업에서 정보가 유출될 경우, 고객 신뢰가 떨어지고, 기업 이미지가 하락하는 심각한 결과를 낳을 수 있습니다. 넷마블은 내부정보 유출을 방지하기 위해 넷마블 구성원을 대상으로 직급별, 직군별 정보보안 교육을 정기적으로 진행하고 있습니다.

신규 입사자 대상 정보보호 교육을 시작으로 매월 정보보호 캠페인, 보안 트렌드 포럼(Security Trend Forum) 등 인식제고 활동을 통해 최신 정보보호 이슈 및 보안규정을 공유하여 구성원이 정보보호를 실천할 수 있도록 지원하고 있으며, 특히 악성메일에 의한 악성코드 유입 상황을 예상하여 모의훈련을 매년 진행함으로써 구성원의 경각심을 높이고 있습니다.&nbsp;

2020년도 넷마블 전체 구성원의 사내 데이터 보안 교육 참여율은 99%이며, 개인정보보호 중요성 인식 강화를 위해 실시하고 있는 개인정보 교육은 96%(법정의무 대상자는 100%)가 참여하였습니다. 이 외에도 정보보안 리스크를 최소화하기 위해 2020년부터 구성원을 대상으로 사내 데이터 보안 인식 수준을 조사하여 보안 취약점을 개선하고 있습니다.

2016년부터 악성메일에 의한 악성코드 유입 대처에 대한 교육 및 모의훈련을 실시하고 있습니다. 교육 진행 시 나열식 교육이 아닌 &lsquo;피싱메일 구별법&rsquo; 한 가지에 집중함으로써 구성원의 이해도를 높이며 높은 관심과 호응을 받고 있으며, 피싱메일 모의훈련을 진행하여 사고발생 시 대응절차를 체득하도록 유도하고 있습니다. 교육의 효과를 높이기 위해 훈련 후 가장 빨리 신고한 구성원이 소속된 조직과 가장 많은 구성원이 신고한 조직을 선정해 소정의 선물을 전달하는 이벤트도 진행하였습니다.&nbsp;

악성메일 모의훈련은 2020년 1회 실시되었으며, 넷마블은 악성 메일 관련 피해 &lsquo;ZERO&rsquo;를 목표로 향후 지속적으로 노력해 나갈 예정입니다.

&nbsp;

넷마블은 고의 또는 중과실로 이용자에게 손해를 끼친 경우, 관계 법령 및 서비스 이용약관에 따라 손해에 대하여 배상할 책임이 있습니다. 이용자의 의견과 불만 접수에 관한 절차를 개별 서비스 초기화면이나 넷마블 홈페이지 <a href="https://helpdesk.netmarble.net/HelpPrivacy.asp">개인정보 처리방침</a>에서 안내하고 있으며 의견이나 불만을 처리하기 위한 전담조직과 개인정보보호를 위한 조직을 운영하고 있습니다.

이용자는 서비스 이용중 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자와 담당부서로 문의할 수 있으며, 넷마블은 이에 대해 지체없이 답변 및 처리하고 있습니다. 처리에 장기간이 소요되는 경우 이용자에게 장기간이 소요되는 사유와 처리일정을 전자우편, 전화 또는 서면, 전자메모 등으로 통보하고 있습니다.

&nbsp;

넷마블은 글로벌 시장에서의 퍼블리싱 서비스를 제공하며, 잠재적인 외부 공격으로부터 데이터 보호를 위해 정보보호 기술을 강화해나가고 있습니다. 디도스 공격 시도의 경우 통신사와의 협업을 통해 방어하고 있으며, IDS 및 웹방화벽을 통합 차단과 모니터링, 서버 접근의 비정상 패킷과 비정상 트래픽 차단, 서비스 포트 관리 등을 통해 엄격한 보안 관리를 수행하고 있습니다. 또한, 게임 개발단계에서부터 통신 암호화 등을 적용하고 있습니다.

더하여, 넷마블은 글로벌 게임 서비스에 클라우드를 적극 활용하고 있습니다. 원활한 게임환경 제공을 위해 아마존웹서비스(AWS)와 구글클라우드플랫폼(GCP) 등을 적용하고 있으며, 플랫폼 별 맞춤형 보안 기능을 구현하였습니다. 이 외에도 게임보안 모듈을 자체 개발하여 외부 공격을 방어하고 있으며, 보안 기술력 확보를 위한 기술 도입에 대한 R&amp;D 투자를 확대하고 있습니다.

게임 관련 기술이 빠르게 진화하고 있는 만큼, 새로이 등장하는 보안 이슈를 체계적으로 대응하기 위해 추후 모니터링, 이상탐지, 대응 등 보안관리 과정을 자동화하여 더욱 안전한 서비스 환경을 구축해 나가는 넷마블. 모두가 안심하고 즐길 수 있는 게임환경을 위해 앞으로도 지속적으로 노력하겠습니다.

채널 넷마블 독자 여러분, 안녕하세요? 새해를 맞아 독자 여러분께 더욱 알찬 넷마블 소식을 전해드려는 마음을 다잡은 채널 넷마블! <넷마블은 ESGing> 그 네번째 이야기로, 많은 게이머분들을 포함해 넷마블을 사랑해주시는 분들이 믿고 맡겨주시는 소중한 개인정보를 넷마블이 어떻게 보호하고, 관리하는지 전해드리려고 합니다.

# 개인정보를 안전하게 관리하는 것이 왜 ESG 경영일까요?

ESG의 G (Governance, 지배구조)는 앞서 이야기 나누었던 사회와 환경에 관한 문제를 해결하려는 기업의 ‘사람들’ 즉 리더, 이사회, 이해관계자 모두를 아우릅니다. 기업의 잠재적인 위기요소와 위협을 잘 관리하여 지배구조를 탄탄하게 하는것이 사회와 환경을 위한 기업행동에 중요한 시너지가 된다는 것이죠.

넷마블은 전세계 많은 유저들의 정보를 관리하는 만큼, 안전한 보안환경을 구축해 개인정보를 보호하는 것이 매우 중요한 거버넌스 활동에 포함됩니다.

# 넷마블의 정보보호 방침 및 체계는 어떻게 구성되어 있나요?

150개 이상 국가를 대상으로 게임을 운영하고 있는 글로벌 퍼블리싱 기업인 넷마블! 넷마블은 글로벌 경쟁력을 갖추기 위해 정보보안을 위한 역량이 얼마나 중요한지 잘 인지하고 있습니다. 이에 따라 국내외 개인정보보호 법제 준수를 위해 Global Privacy Compliance 및 ISO 규격을 충족하는 전사 정보보호 규정 및 지침을 수립하여 체계적인 정보보호 업무를 수행하고 있습니다. 또한, 감사실의 내부감사를 통해 내부 보안정책 준수 및 이행현황을 주기적으로 확인 및 관리하고 있답니다.

넷마블은 사내 정보보호 최상위 정책서인 정보보호규정을 통해 정보보호에 관한 목표와 방향을 제시함으로써 이를 참고하는 모두가 정보보호에 같은 방향성을 갖도록 기여하고 있습니다. 정보보호규정 하위에 인원보안, 외부자보안, 비밀정보보호, 시설보안, 통신 및 사무기기 보안, 보안감사 및 보안점검 등의 절차를 설명하는 일반보안업무 지침, 회원 및 임직원의 개인정보를 수집·이용·관리함에 있어 지켜야 할 세부 사항들을 설명하는 개인정보보호 지침과 더불어 정보시스템보안, 위치정보보호 등 여러 분야에서 소중하게 지켜져야할 보안 지침서를 마련하여 전사적인 보안 규정을 관리하고 있습니다.

또한 정보보호 정책 달성을 위한 단계적 접근 방식을 명시한 3개의 절차서(정보자산 위험관리절차서, 응용프로그램 보안절차서, 비상상황 대응절차서)를 보유하고 있습니다.

#넷마블은 이용자의 개인정보보호를 위해 어떤 노력을 하고 있나요?

넷마블은 이용자에게 서비스를 제공하기 위해 수집하고 이용하는 개인정보 관리 기준을 명시한 개인정보처리방침을 보유하고 있습니다. 이에 따라 이용자 동의를 기반으로 개인정보를 수집·이용 및 제공하며, 정보통신서비스제공자가 준수하여야 하는 대한민국의 관계 법령 및 제도를 성실히 준수하고 있습니다.

넷마블은 정보가 처리되는 지역과 관계없이 개인정보처리방침에 명시된 정보보호 기준을 우선하여 적용하고 있습니다. 다만, 다른 기준이 필요한 경우 국가별 정책 여건을 존중하여 각 국가의 내부 보안정책을 고려한 정보보호 체계를 운영하고 있습니다.

# 정보보호 인증

넷마블은 각종 보안 위협으로부터 주요 정보자산을 보호하기 위해 다양한 노력을 하고 있으며, 이에 대해 국내외 관련 기관으로부터 정보보호 체계를 인증 받고 있습니다. 2015년 정보보호(ISMS) 및 개인정보보호 관리체계(PIMS) 인증을 최초 취득하였으며, 2020년 ISMS-P 인증을 신규 취득하여 유지하고 있습니다. 또한, 2015년부터 ISO 27001 인증을 취득하고 있으며, 법정의무를 준수하고 정보보호 및 개인정보보호 활동에 대한 대외 신뢰도 강화를 위해 2021년 ISMS-P 인증과 ISO/IEC 27001 인증 유지를 위한 심사를 받았습니다.

# 넷마블의 정보보호 문화 조성은 어떻게 이루어지고 있나요?

기업에서 정보가 유출될 경우, 고객 신뢰가 떨어지고, 기업 이미지가 하락하는 심각한 결과를 낳을 수 있습니다. 넷마블은 내부정보 유출을 방지하기 위해 넷마블 구성원을 대상으로 직급별, 직군별 정보보안 교육을 정기적으로 진행하고 있습니다.

신규 입사자 대상 정보보호 교육을 시작으로 매월 정보보호 캠페인, 보안 트렌드 포럼(Security Trend Forum) 등 인식제고 활동을 통해 최신 정보보호 이슈 및 보안규정을 공유하여 구성원이 정보보호를 실천할 수 있도록 지원하고 있으며, 특히 악성메일에 의한 악성코드 유입 상황을 예상하여 모의훈련을 매년 진행함으로써 구성원의 경각심을 높이고 있습니다.

2020년도 넷마블 전체 구성원의 사내 데이터 보안 교육 참여율은 99%이며, 개인정보보호 중요성 인식 강화를 위해 실시하고 있는 개인정보 교육은 96%(법정의무 대상자는 100%)가 참여하였습니다. 이 외에도 정보보안 리스크를 최소화하기 위해 2020년부터 구성원을 대상으로 사내 데이터 보안 인식 수준을 조사하여 보안 취약점을 개선하고 있습니다.

2016년부터 악성메일에 의한 악성코드 유입 대처에 대한 교육 및 모의훈련을 실시하고 있습니다. 교육 진행 시 나열식 교육이 아닌 ‘피싱메일 구별법’ 한 가지에 집중함으로써 구성원의 이해도를 높이며 높은 관심과 호응을 받고 있으며, 피싱메일 모의훈련을 진행하여 사고발생 시 대응절차를 체득하도록 유도하고 있습니다. 교육의 효과를 높이기 위해 훈련 후 가장 빨리 신고한 구성원이 소속된 조직과 가장 많은 구성원이 신고한 조직을 선정해 소정의 선물을 전달하는 이벤트도 진행하였습니다.

악성메일 모의훈련은 2020년 1회 실시되었으며, 넷마블은 악성 메일 관련 피해 ‘ZERO’를 목표로 향후 지속적으로 노력해 나갈 예정입니다.

# 데이터 유출사고 대응 및 처리는 어떻게 이루어 질까요?

넷마블은 고의 또는 중과실로 이용자에게 손해를 끼친 경우, 관계 법령 및 서비스 이용약관에 따라 손해에 대하여 배상할 책임이 있습니다. 이용자의 의견과 불만 접수에 관한 절차를 개별 서비스 초기화면이나 넷마블 홈페이지 개인정보 처리방침에서 안내하고 있으며 의견이나 불만을 처리하기 위한 전담조직과 개인정보보호를 위한 조직을 운영하고 있습니다.

이용자는 서비스 이용중 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자와 담당부서로 문의할 수 있으며, 넷마블은 이에 대해 지체없이 답변 및 처리하고 있습니다. 처리에 장기간이 소요되는 경우 이용자에게 장기간이 소요되는 사유와 처리일정을 전자우편, 전화 또는 서면, 전자메모 등으로 통보하고 있습니다.

# 넷마블은 정보보호 기술력을 계속 강화하는 중!

넷마블은 글로벌 시장에서의 퍼블리싱 서비스를 제공하며, 잠재적인 외부 공격으로부터 데이터 보호를 위해 정보보호 기술을 강화해나가고 있습니다. 디도스 공격 시도의 경우 통신사와의 협업을 통해 방어하고 있으며, IDS 및 웹방화벽을 통합 차단과 모니터링, 서버 접근의 비정상 패킷과 비정상 트래픽 차단, 서비스 포트 관리 등을 통해 엄격한 보안 관리를 수행하고 있습니다. 또한, 게임 개발단계에서부터 통신 암호화 등을 적용하고 있습니다.

더하여, 넷마블은 글로벌 게임 서비스에 클라우드를 적극 활용하고 있습니다. 원활한 게임환경 제공을 위해 아마존웹서비스(AWS)와 구글클라우드플랫폼(GCP) 등을 적용하고 있으며, 플랫폼 별 맞춤형 보안 기능을 구현하였습니다. 이 외에도 게임보안 모듈을 자체 개발하여 외부 공격을 방어하고 있으며, 보안 기술력 확보를 위한 기술 도입에 대한 R&D 투자를 확대하고 있습니다.

게임 관련 기술이 빠르게 진화하고 있는 만큼, 새로이 등장하는 보안 이슈를 체계적으로 대응하기 위해 추후 모니터링, 이상탐지, 대응 등 보안관리 과정을 자동화하여 더욱 안전한 서비스 환경을 구축해 나가는 넷마블. 모두가 안심하고 즐길 수 있는 게임환경을 위해 앞으로도 지속적으로 노력하겠습니다.

채널 넷마블 편집팀