[인터뷰] 홍석범 CISO “크래프톤의 글로벌 성장에 발맞춘 보안 체계 구축”

”자율성과 보안의 균형·글로벌 시장 지향·보안 조직 확장과 보안시스템 혁신에 주력”

홍석범 크래프톤 CISO는 다양한 글로벌 보안 경험을 바탕으로 현재 크래프톤에서 보안 책임자 업무를 맡고 있다. 그는 스타트업에서부터 시작해 다양한 기업의 보안과 네트워크 운영을 경험하며 실력을 쌓아왔고, 특히 글로벌 기업에서의 경험을 통해 더욱 폭넓은 보안 관점을 갖게 되었다. 홍석범 CISO는 크래프톤에 합류하기 전, 씨디네트웍스와 일본 라쿠텐 등에서 보안팀을 이끌며 글로벌 보안 환경 속에서 다양한 시스템과 네트워크 보안을 경험해 온 전문가로 잘 알려져 있다.

홍 CISO는 현재 크래프톤에서 보안 정책을 새롭게 구축하고 있으며, 글로벌 시장을 겨냥한 보안 전략을 수립 중이다. 그는 회사의 자율적인 문화를 존중하면서도 보안을 효율적으로 관리하고, 보안 솔루션과 정책의 최적화를 목표로 하고 있다. 특히 게임 산업 특유의 보안 요구에 맞춘 대응 방안들을 마련하고, 보안 사고에 신속하게 대처할 수 있는 시스템을 구축해 나가고 있다.

다음은 데일리시큐와 홍석범 CISO의 최근 인터뷰 내용이다.

◆홍석범 CISO 인터뷰◆

Q: 크래프톤에 합류하시기 전까지의 이력에 대해 간단히 말씀해주시겠습니까?

A: 처음에 스타트업에서 경력을 시작했습니다. 당시에는 시스템 엔지니어로서 보안과 네트워크 관리까지 혼자서 모든 업무를 다 해야 했습니다. 덕분에 시스템 운영뿐만 아니라 전체적인 큰 그림을 볼 수 있는 경험을 하게 되었습니다. 이후에는 스타트업이 코스닥에 상장될 정도로 성장했고, 당시 운영하던 서버도 수천 대에 이를 정도로 규모가 컸습니다. 그 경험이 저에게 보안 사고를 직간접적으로 경험할 수 있는 기회를 제공했습니다. 이후 씨디네트웍스에 합류하면서 글로벌 네트워크 기반 보안 서비스를 경험하게 되었고, 시스템과 네트워크 운영에 있어 더욱 깊이 있는 보안 지식을 쌓을 수 있었습니다.

Q: 일본에서의 보안 업무는 한국과 어떻게 다른가요?

A: 일본은 보안에 매우 민감한 국가입니다. 제가 일본에 있을 당시 한 차례 보안 사고가 발생했는데, 이후 고객들의 보안에 대한 불안이 크게 증가했죠. 그래서 주재원으로 파견되어 고객 지원 및 보안 업무를 전담하게 되었습니다. 이후에는 라쿠텐으로 이직하게 됐고, 라쿠텐은 일본 회사이지만 기술 부문에서는 외국인 비율이 70%를 넘습니다. 덕분에 다양한 국가의 직원들과 함께 일하면서 글로벌 보안 정책을 경험할 수 있었습니다.

일본은 메뉴얼의 나라라고 할 수 있습니다. 융통성은 부족하지만, 보안 측면에서 하지 말라는 것은 철저하게 지키려는 문화가 있습니다. 예를 들어 대부분의 직원들이 개인폰과 회사폰을 따로 가지고 다니며, 프라이버시를 철저하게 지키는 문화가 자리잡고 있습니다. 하지만 기술적인 측면에서 한국보다 앞선 보안업체가 많지 않다는 점은 차이점입니다. 그래서 많은 국내 보안업체들이 일본 시장에 진출하려고 합니다.

Q: 크래프톤에 합류하게 된 이유는 무엇입니까?

A: 크게 세 가지 이유가 있습니다. 첫 번째는 크래프톤이 굉장히 다이나믹한 회사라는 점입니다. 회사가 급격하게 변화·발전하고 있으며, 보안 정책을 새롭게 구축해 나가는 과정에 있습니다. 다른 대기업에서는 이미 보안 체계가 구축되어 있어서 개선이나 유지에 초점을 맞추지만, 크래프톤에서는 새롭게 만들어가고 있다는 점에서 큰 매력을 느꼈습니다. 두 번째 이유는 게임 산업이라는 새로운 분야에 대한 도전입니다. 게임은 저에게도 새로운 시도이고, 그 자체로도 재미있을 것 같았습니다. 세 번째는 크래프톤의 글로벌 지향성입니다. 현재 매출의 94% 이상이 해외에서 발생하고 있으며, 글로벌 시장에서의 보안 도전이 크래프톤에서의 큰 역할을 기대하게 만들었습니다.

Q: CISO로서 크래프톤에서 가장 신경 쓰고 있는 부분은 무엇입니까?

A: 저는 크래프톤에 5월에 합류했습니다. 크래프톤은 평균 연령이 30대 초중반으로 굉장히 젊은 조직입니다. 회사는 자율성을 중요시하기 때문에, 보안 업무 역시 자율과 효율성을 동시에 존중하는 방향으로 접근하고 있습니다. 보안 솔루션 적용 시에는 차단보다는 로그를 남기고 비정상적인 행위를 모니터링하는 방식으로 접근하고 있습니다. 이를 통해 자율성과 보안을 적절히 조화시키는 것이 목표입니다. 또한, 글로벌 시장을 지향하고 있기 때문에 개인정보 보호 규제 강화에 대응할 수 있는 체계도 중요하게 고려하고 있습니다.

Q: 게임사에서는 개발부서와 보안부서간 조율이 중요하다고 들었는데 이 부분은 어떻게 해결하고 계시나요?

A: 개발부서와 보안부서 간의 마찰은 서로의 업무를 잘 이해하지 못해서 발생한다고 생각합니다. 보안팀은 개발의 효율성과 자율성을 충분히 이해하고 이를 고려해 정책을 수립해야 합니다. 반면, 개발팀도 보안의 중요성을 인식해야 하며, 이를 통해 접점을 찾아갈 수 있다고 생각합니다. 내년에는 이러한 부분을 고려한 보안 정책을 도입하고자 하며, 미리 교육과 커뮤니케이션을 통해 합의를 이끌어내는 과정을 계획하고 있습니다.

Q: 향후 크래프톤 보안팀의 방향성과 목표는 무엇인가요?

A: 첫 번째 목표는 보안 조직의 확장입니다. 내년에는 보안 인력을 두 배로 확충하고, 새로운 보안 솔루션들을 도입할 계획입니다. 이를 통해 크래프톤의 보안 수준을 한층 더 높이고, 글로벌 시장에서의 경쟁력을 강화하려고 합니다. 두 번째 목표는 보안 조직원들이 커뮤니티와 컨퍼런스를 통해 자신들의 지식과 경험을 공유하는 기회를 만드는 것입니다. 이를 통해 팀원들이 성장하고, 자연스럽게 크래프톤의 보안 수준도 높아질 것으로 기대하고 있습니다.

◆”자율성과 보안의 균형·글로벌 시장 지향·보안 조직 확장과 보안시스템 혁신에 주력”

이번 인터뷰를 통해, 홍석범 CISO는 크래프톤에서 자율성과 보안의 균형을 꼽았다. 크래프톤은 젊은 조직으로, 평균 연령이 30대 초반이며 자율적인 업무 방식을 지향하고 있다. 이는 출퇴근 시간이 유동적이고 직원들이 자율적으로 업무를 조율하는 문화가 바탕에 깔려있다. 홍 CISO는 이러한 자유로운 기업 문화를 보안과 어떻게 조화시킬 것인가가 중요한 과제라고 설명했다. 보안 솔루션을 적용할 때 무작정 차단하는 방식보다는, 로그를 남기고 비정상적인 활동을 모니터링하는 방식으로 접근하는 것을 우선시하고 있다. 이는 보안 강화를 목적으로 불필요한 불편을 주지 않으면서도 회사의 보안을 강화할 수 있는 방법이라고 전했다.

또 그는 개인정보 보호와 관련된 규제 대응에도 큰 관심을 두고 있다. 글로벌 시장을 지향하는 크래프톤은 한국뿐만 아니라 전 세계적으로 강화되고 있는 개인정보보호 규제에 철저히 대비해야 한다. 특히 게임 유저들의 개인정보뿐만 아니라 다른 정보들도 불필요하게 수집되지 않도록 하며, 정보가 필요 없을 경우에는 즉시 폐기하는 절차를 강화하고 있다. 이를 통해 글로벌 시장에서도 보안 규제를 준수하고 신뢰를 쌓는 것이 중요하다고 강조했다.

향후 크래프톤 보안팀의 방향성과 목표에 대해서, 홍석범 CISO는 보안 조직의 확장과 보안 솔루션의 혁신을 핵심으로 삼고 있다. 내년에는 현재 두 자릿수 규모인 보안 인력을 두 배로 확충할 계획이며, 그동안 사용해온 보안 솔루션들도 더 강력한 것으로 대체하려고 한다. 그는 보안 사고를 막기 위한 시스템적인 대응뿐만 아니라, 모니터링 시스템을 강화하여 작은 사고도 빠르게 포착하고 대응할 수 있는 환경을 만들고자 한다. 보안 솔루션이 완벽하더라도 사고는 발생할 수밖에 없지만, 모니터링을 통해 그 피해를 최소화하는 것이 그의 목표다.

더불어 크래프톤의 자율적인 업무 문화를 유지하면서도 보안을 강화하는 방안을 모색 중이다. 그는 각 부서가 다양한 SaaS(Software as a Service)를 사용하는 만큼, 회사의 자원과 정보가 다양한 곳에 분산되어 있어 이를 모니터링하는 것이 필수적이라고 판단했다. 홍 CISO는 각 부서의 자율성을 존중하면서도 명확한 보안 가이드를 마련하고, 이를 기반으로 모니터링을 강화해 보안 사고를 예방하는 데 중점을 두고 있다. 더불어, 생성형 AI 도입에 대해서도 보안 측면에서 가이드를 제공하고, 이를 통해 개발이 원활하게 이루어질 수 있도록 하고 있다.

홍석범 CISO는 인터뷰에서 크래프톤에서 보안팀을 이끌며 자신이 주도하는 보안 정책과 조직의 성장을 통해 회사 전체의 보안 수준을 높이는 것을 목표로 하고 있다고 말했다. 그는 경영진과 함께 보안 로드맵을 수립했으며, 보안 인력 충원과 솔루션 도입에 대해 경영진의 전폭적인 지원을 받고 있다고 강조했다. 내년에는 더욱 강력한 보안 정책을 디플로이해 크래프톤의 글로벌 성장에 발맞춘 보안 체계를 구축할 계획이다.

홍석범 CISO는 개인적으로도 크래프톤의 보안팀이 기술적으로 뛰어난 인재들로 구성되기를 희망하며, 팀원들이 자신들의 경험과 지식을 커뮤니티에서 발표하고, 외부 컨퍼런스에서 공유하는 기회를 늘릴 계획이다. 이러한 경험을 통해 보안팀이 성장하면, 자연스럽게 크래프톤의 보안 수준도 함께 높아질 것이라고 기대하고 있다.

◆크래프톤, 직원 3,226명에 지난해 매출 1조9천106억원…글로벌 게임 기업

크래프톤은 글로벌 시장에서 인정받는 게임 제작 및 퍼블리싱 기업으로, 독창적인 크리에이티브와 기술력을 바탕으로 한 게임 개발에 주력하고 있다. 테라와 PUBG: 배틀그라운드를 필두로, 크래프톤은 배틀로얄 장르를 전 세계에 확산시키며 게임 산업의 선두주자로 자리매김했다. 다양한 장르와 플랫폼에 걸친 게임 개발 능력을 통해 크래프톤은 전 세계 게이머들에게 독보적인 경험을 제공하고 있으며, 지속적인 기술 혁신으로 게임의 재미와 몰입감을 높이고 있다.

크래프톤은 또한 딥러닝과 AI 기술을 게임 개발에 적극적으로 적용하고 있으며, 이 기술들을 통해 게임 제작 과정의 생산성과 효율성을 높이고 있다. 글로벌 시장을 겨냥한 확장 전략을 통해 크래프톤은 매출의 90% 이상을 해외에서 발생시키고 있으며, 지속적인 성장과 혁신을 통해 더 많은 팬들에게 사랑받는 글로벌 게임 기업으로 자리 잡고 있다. 2024년 2월 기준 크래프톤은 직원수 3,226명에 지난해 매출액 1조9천106억원, 영업이익 7천680억을 기록하고 있는 글로벌 기업이다.

◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆

-인공지능 기반 보안기술과 보안위협 대응 정보 공유-

-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-

-일 시: 2024년 11월 5일(화) 09:00~17:00

-장 소: 더케이호텔서울 2층 가야금홀

-주 최: 데일리시큐

-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)

-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업

-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-참석자 사전등록: 클릭

(사전등록 필수, IT보안 관계자만 참석가능)

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★