국내 주요 게임사들이 지난해 정보보호(보안) 투자에 소홀했던 것으로 집계됐다. 넥슨과 크래프톤은 지난해 ‘역대 최대’ 매출을 기록했음에도 매출 대비 정보보호 투자비율이 각각 0.56%, 0.35% 수준에 불과했다. 최근 SK텔레콤과 예스24 등 잇따른 해킹 사고로 보안에 대한 중요성이 커지는 가운데 게임 유저들의 개인정보를 보유한 게임사들이 무책임하다는 비판이 나오고 있다.
29일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 지난해 넥슨코리아의 정보보호 투자액은 227억원으로 정보보호 현황 공시 의무 게임사 중 가장 높았다. 이어 ▲엔씨소프트(181억원) ▲크래프톤(96억원) ▲컴투스(86억원) ▲넷마블(56억원) ▲카카오게임즈(36억원) ▲위메이드(31억원) 등이 뒤를 이었다. 과학기술정보통신부와 KISA는 매출 3000억원 이상 상장사, IT서비스 일 평균 이용자 수 100만명 이상인 곳을 대상으로 정보보호 현황을 연 1회 공시하도록 의무를 부과하고 있다.
문제는 게임사들의 지난해 정보보호 투자액이 전체 매출 대비 상당히 적은 수준이라는 점이다. 넷마블은 지난해 매출 2조6638억원을 기록했지만, 매출 대비 정보보호 투자비율은 0.21%로 가장 낮았다. 이외 카카오게임즈와 위메이드는 지난해 매출이 7000억원대를 달성했는데, 매출 대비 정보보호 투자비율은 각각 0.48%, 0.43%였다. 그나마 1%를 넘는 게임사는 컴투스(1.24%)와 엔씨소프트(1.14%)였다.
게임사 내 정보보호 업무를 전담하는 인력 비중은 회사별로 차이를 보였다. 지난해 정보보호 전담인력이 가장 많은 게임사는 넥슨코리아로 163명이었으며, 엔씨소프트도 101명으로 100명이 넘었다. 이어 ▲넷마블(37명) ▲크래프톤(33명) ▲컴투스(29명) ▲카카오게임즈(20명) ▲위메이드(16명) 순이었다. 정보보호 전담인력은 기업의 정보보호 전략 수립부터 시스템 보안, 침해 대응, 인증 관리 등의 역할을 맡는다.
다만 전체 임직원 수 대비 정보보호 전담인력 수는 게임사 간 차이가 있었다. 컴투스는 총 임직원(1480명) 중 정보보호 전담인력이 1.95%로 가장 낮았다. 크래프톤 역시 총 임직원(1680명) 중 정보보호 전담인력이 1.96%로 2% 미만이었다. 반면 넷마블은 총 임직원(786명명) 중 정보보호 전담인력이 4.70%로 가장 높았다. 넥슨코리아와 카카오게임즈도 총 임직원 중 정보보호 전담인력이 각각 4.16%, 4.06%로 4%대를 기록했다. 그 외 엔씨소프트와 위메이드는 총 임직원 중 정보보호 전담인력이 각각 2.03%, 2.74%로 집계됐다.
게임사는 게임 유저 개인정보를 다량 보유하고 있으며, 게임 서버가 마비될 경우 게임 진행이 어려워 실적에 직격탄을 맞는 만큼 보안이 중요하다. 실제 지난해 ‘리그오브레전드(LoL)’의 국내 e스포츠 리그인 LCK 경기가 생중계 중 디도스 공격을 받아 중단되며 라이엇게임즈와 유명 프로게이머들이 피해를 입은 바 있다.
아울러 기술의 발전으로 더 고도화된 디도스 공격이 나타나면서 보안 관련 투자 확대가 필요한 상황이다. 해커들은 유저들의 아이디를 해킹해 게임 전용 캐시나 아이템을 탈취하는가 하면 유저의 개인정보를 거래하기도 한다.
염흥렬 순천향대 정보보호학과 명예교수는 “게임산업은 디지털 환경에서 이루어지는 만큼 보안이 한번 뚫리면 치명타가 되기에 최우선적으로 다뤄져야 한다”며 “SK텔레콤 해킹 사고로 폐쇄망이 안전하다는 사고가 깨진 만큼, 게임사들은 위험평가 결과를 바탕으로 정보보호 투자를 적극 확대해야 한다”고 말했다.