보안 / 프라이버시

"보안은 규제 아닌 비즈니스" 포켓몬 컴퍼니의 GDPR을 기회로 이용한 방식

Dan Swinhoe | CSO 2018.11.21
포켓몬(Pokémon)은 세계적인 유명 브랜드 가운데 하나다. 화려한 색상의 포켓 몬스터들이 수십 종의 컴퓨터 게임, 만화, 영화, 트레이딩 카드(Trading Card), 책, 장난감 등 상상할 수 있는 모든 것에 등장하고 있다.

2016년에는 지오캐싱(Geo-caching)과 기본적인 증강 현실(AR) 기능을 조합해 몬스터 수집을 거의 현실에 가깝게 구현한 모바일 앱 포켓몬 고(Pokémon Go)를 선보였다. 이 게임의 인기는 포켓몬 기준으로도 폭발적이었으며 약 8억 번의 다운로드를 기록하고 20억 달러에 가까운 매출을 발생시켰다.

하지만 이로 인해 포켓몬 컴퍼니 인터내셔널(Pokémon Company International)에는 문제가 생겼다. 해당 기업은 어떤 기업들이 트레이딩 카드를 인쇄하거나 귀여운 고급 장난감을 출시하는지에 대해 걱정하다가 갑자기 엄청난 수의 아동과 EU 거주민들의 개인 정보를 보유하는 것에 대한 책임에 대해 걱정하게 되었다. 이런 개인식별정보(Personally Identifiable Information, PII)로 인해 EU의 GDPR(General Data Protection Regulation)에서 상당한 규제 위험이 발생했다.

흥미롭게도 포켓몬 컴퍼니 인터내셔널은 GDPR 컴플라이언스를 고객과 그들의 부모에게 신뢰를 쌓을 수 있는 하나의 비즈니스 기회로 인식했다. GDPR과 기타 글로벌 규제로 수립된 높은 프라이버시와 보안 기준을 충족할 수 있다면 포켓몬 컴퍼니 인터내셔널은 PII 보호와 관련해 더욱 안전한 브랜드로 차별화할 수 있었다.


Credit: Getty Images Bank 

급성장 속에서 개인 정보 보호하기
포켓몬 컴퍼니 인터내셔널의 정보 보안 책임자 겸 DPO(Data Protection Officer) 존 비스네스키가 "포켓몬 고는 관련된 모든 사람들에게 놀라움을 안겨주었다"면서, "8억 회 다운로드를 예상하지 못했다. 이 애플리케이션 출시 당시에 가장 낙관적인 추정치는 약 5,000만~1억 회 정도였다"고 말했다.

미 공군에서 10년 동안 다양한 정보 보안을 담당한 비스네스키는 2017년 초 포켓몬 컴퍼니 인터내셔널에 합류했으며 해당 기업의 보안과 수억 명의 아동 및 GDPR 대상의 데이터를 안전하고 법률을 준수하는 방식으로 취급하는 것뿐만 아니라 조직 전체 내에서 보안 문화를 수립하는 업무를 담당했다.

비스네스키는 "과거에는 공군이 비행하고 싸우며 승리할 수 있도록 돕는 것이 일이었다. 이제는 피카추(PIkachu)를 보호하는 것이 일이다"며, "하지만 결국은 마찬가지이다. 보안 프로그램은 비즈니스 목표와 정확히 일치해야 한다"고 말했다.

지켜야할 것은 포켓몬만이 아니다
1990년대 초 게임 프릭(Game Freak), 크리에이처스(Creatures, Inc.), 닌텐도(Nintendo)의 협력을 통해 포켓몬이 탄생한 후, 이 새로운 슈퍼 브랜드의 마케팅 및 라이선스를 관리하기 위해 새로운 기업이 설립됐다. 포켓몬 컴퍼니는 일본 안을 관리하지만 미국을 기반으로 한 영국에 사무실을 둔 포켓몬 컴퍼니 인터내셔널이 나머지 국가에서의 운영을 관리한다.

여기에는 물리적인 트레이딩 카드 게임과 안아주고 싶은 장난감에서부터 포켓몬 고 현상에 이르는 모든 것이 포함된다. 포켓몬 고가 출시되고 비스네스키가 합류하기 전 포켓몬 컴퍼니의 IT 인력은 12명 미만이었으며 대부분 웹 개발에 투입됐다.

비스네스키는 "포켓몬 고의 인기가 폭발적이었고 해당 기업은 현명하게도 거의 하룻밤 사이에 자체 기술팀 운영을 시작했다"며, "하룻밤 사이에 수억 명의 고객들이 시스템에 액세스하는 상황에서 보안 프로그램을 시작할 누군가를 영입하는 것은 신중한 접근방식일 것이다"고 말했다.

이 기업에 합류한 비스네스키는 처음부터 사이버보안 프로그램을 구축하고 보안 아키텍처를 개발하며 보안팀을 고용하고 공급업체를 선택하며 서드파티에 접근하고 GDPR을 담당하는 업무를 맡았다. 비스네스키는 "포켓몬 컴퍼니 인터내셔널은 하룻밤 사이에 IT 기업이 되기로 결정했으며 지속적으로 브랜드를 성장시키고 시스템을 더욱 잘 통제하기 위해 애플리케이션 개발을 도입했다"고 말했다.

현재 해당 기업의 기술 조직에서만 100명이 넘게 근무하고 있다. 보안팀은 2명의 보안 엔지니어, 2명의 운영 분석가, 1명의 감사 및 컴플라이언스 담당자로 구성된다. 비스네스키는 해당 기업의 DPO이기 때문에 GDPR 컴플라이언스를 중심으로 자신의 활동을 뒷받침할 2명의 변호사가 있다.

수억 명의 아동의 신원 인증하기
포켓몬 고는 구글에서 분사된 나이언틱(Niantic)이 개발했다. 포켓몬 컴퍼니 인터내셔널과 나이언틱은 게임 운영 방식에 대한 책임을 공유한다. 비스네스키는 "나이언틱은 애플리케이션에서 구동하는 것을 통제하며 일정 비율의 백엔드를 관리하고 우리는 COPPA(Child Online Privacy Protection Act) 컴플라이언스를 위한 약간의 백엔드를 통제한다"고 설명했다.

하지만 이것은 데이터 퍼즐의 일부에 지나지 않는다. 포켓몬 고와 마찬가지로 해당 기업은 기타 애플리케이션, 물리적인 트레이딩 카드 게임을 위한 직접 토너먼트, 비디오 게임 등의 사용자 데이터도 보유하고 있다.

간소화를 위해 해당 기업은 포켓몬 트레이너스 클럽(Pokémon Trainers Club)이라는 새로운 중앙 인증 플랫폼을 개발했다. 이 인증 플랫폼은 고, Pokémon.com 웹사이트, 온라인 트레이딩 카드 게임, 포켓몬 글로벌 링크(Pokémon Global Link)를 통한 비디오 게임, 물리적인 이벤트와 토너먼트를 위한 로그인 시스템으로 기능한다.

비스네스키는 "포켓몬 트레이너스 클럽에는 수억 명의 사용자들이 있다. 포켓몬 고 사용자 가운데 1%만이 우리의 플랫폼을 이용해 인증하지만(페이스북과 구글 인증도 선택 가능하기 때문에), 이는 시스템에 있는 전체 사용자의 극히 일부에 지나지 않는다"고 말했다.

이런 상황에 대응하기 위해 이 기업은 대부분 AWS를 통한 클라우드 기반으로 보안을 설계했다. 이 기업의 보안 스택에는 보안 분석 및 SOC(Security Operations Center) 개발을 위한 스모 로직(Sumo Logic), 데이터 가시성을 위한 브라우드스트라이크(Crowdstrike), 파일 보안용 베라(Vera) 등의 여러 클라우드 기반 업체들이 포함되어 있다. 포켓몬 컴퍼니는 봇(Bot)과 속임수를 쓰는 사람들을 방지하기 위해 AWS 람다 서버리스 기능을 이용해 블랙리스트와 화이트리스트를 자동화하고 있다.

비스네스키는 "보안팀으로서 우리는 아침에 일어나서 인프라가 하룻밤 사이에 50%나 확대된 것을 확인하고 더 두꺼운 벽을 세우는 방법을 찾는 대신에, 이런 관계를 이용해 비즈니스에 따라 지속적으로 성장할 수 있는 방법에 대해 전략적으로 생각할 수 있었다"며, "이런 종류의 협력관계는 클라우드가 제공하는 기능을 넘어 전력승수로 기능한다"고 말했다.

GDPR을 이용해 고객 신뢰 쌓기
많은 초기 팬이 이제는 성인이 되었지만 많은 아이가 포켓몬 컴퍼니의 제품을 이용하고 있기 때문에 규제 컴플라이언스는 중요한 문제다. 이 기업은 오랫동안 미국에서 13세 이하의 온라인 개인 정보 수집을 관장하며 부모 또는 보호자로부터 검증 가능한 동의에 대한 요건이 포함된 COPPA를 준수해야 했다.

하지만 COPPA 경험이 GDPR 적용 시 큰 도움이 되었다. 비스네스키는 "하나의 기업으로서 우리의 핵심 가치 가운데 하나는 어린이 안전이다. 포켓몬 컴퍼니는 아동 온라인 프라이버시 보호 기초가 정말로 탄탄하고 법률팀이 이를 중요하게 받아들였기 때문에 이미 'GDPR에 주의해야 하며 중요하게 받아들여야 한다'는 지지적 관점에서 잘 시작했다"고 말했다.

비스네스키는 DPO로서 GDPR을 EU의 고객뿐만 아니라 데이터베이스 전체에 걸쳐 새로운 높은 기준으로써 사용하고자 했다. "단순히 어린이 안전만이 아니라 고객 안전을 원했다. 모든 고객은 자신의 데이터에 대한 권리, 그리고 자신이 안전하고 중요하다고 느껴지는 프라이버시 프로그램을 누릴 자격이 있다. 왜냐하면 신뢰가 정말 중요하기 때문이다."

비스네스키는 "우리는 부모들이 경쟁사와 비교해 우리가 보안과 프라이버시를 중요하게 여기기 때문에 아이들이 포켓몬 브랜드를 즐길 수 있는 안전한 공간이 있다고 안심할 수 있도록 하고 있다. 이런 조건으로 이야기할 수 있다면 사업이 가능한 것이다. 이를 통해 우리는 프라이버시와 보안을 판매할 수 있게 된다"고 설명했다.

비즈니스 지원자로서의 보안
GDPR을 외부적인 비즈니스 강화 요소로 활용하는 것 외에도 비스네스키는 내부적으로도 유사한 접근방식을 취하고 있다.

비스네스키는 "우리가 무엇을 수집하거나 수집할 수 없다고 말할 수 있는 것은 목표가 아니다. 조직 전체의 보안 문화를 양성해야 한다. 결국 직원들은 프라이버시 및 보안 전문가가 되지만 이를 인지하지 못한다. 모두가 잘 교육된 프라이버시 전문가이자 비즈니스 조직이 되어 스스로 정확한 의사를 결정하고 프라이버시 마음가짐을 염두에 둘 수 있도록 하는 것이 목표이다. 나는 단지 소규모 팀을 확보할 것이다. 나는 한 번에 한 곳에만 있을 수 있다. 기업 곳곳에 보안 및 프라이버시 챔피언이 있어야 한다"고 말했다.

비스네스키는 '단순한 회의론자가 되지 말자;는 주문을 통해 나머지 비즈니스 부문에서 보안을 더욱 중시하게 되고 그 결과, 프라이버시를 지키는 데 더욱 참여하게 될 것이라고 생각한다. 비스네스키는 "보안과 관련된 우리의 철학은 우선 비즈니스 조력자이자 보안 전문가라는 것"이라고 말했다.

"우리는 스스로에게 먼저 위험, 위협, 멋진 도구 등에 대해 질문하지 않도록 노력하고 있다. 우리는 '비즈니스 필요가 무엇이며, 비즈니스 목표가 무엇이고 우리의 기술이 비즈니스의 효과와 효율성을 높여줄지'에 대해 먼저 생각한다."

비스네스키는 "이런 마음가짐을 갖게 되면 보안을 단순히 사람들이 기업에서 할 수 없는 일로 여기지 않게 된다"고 주장했다. 그리고 보안은 회의 시 기업이 원하는 팀이 되어 기업이 목표를 달성하는 조력자 역할을 한다. 조력자가 되는 예는 기업의 스모 로직 사용이다. 로그 관리와 분석 도구인 스모 로직은 주로 보안 분석 역량을 위해 도입됐지만 이제는 데브옵스, 재무, 비즈니스 인텔리전스(BI) 등에서 널리 사용되고 있다.

비스네스키는 "두 번째로 많은 고급 사용자는 우리의 게임 스튜디오에서 근무하는 사람들이다. 우리는 이를 통해 비즈니스를 위해 기업 전반에 걸쳐 데이터를 안전하게 통합하는 방법을 파악할 수 있게 되었다"고 말했다. "CFO에게 찾아가 이야기하는 것이 쉬워졌다. 사장에게 이야기하는 것도 쉽다. 왜냐하면 이제 더 이상 ROI를 입증하기 위해 노력하지 않아도 되기 때문이다."

서드파티와의 안전한 데이터 공유에 앞장서기
수백만 달러 규모 브랜드의 마케팅 및 라이선스를 담당하는 포켓몬 컴퍼니 인터내셔널은 민감한 데이터를 취급하는 서드파티 대응에 깊이 관련되어 있다. 예를 들어, 운송 기업은 주소가 필요하거나 토너먼트 주최자는 이름 또는 이메일 주소가 필요할 수 있다.

기업의 데이터 프로세스와 마찬가지로 GDPR은 서드파티와의 데이터 공유를 다룬다. 서드파티가 적절한 액세스 수준을 확보하도록 할 뿐 아니라 스스로 건전한 사이버 위생을 실시하도록 하는 것이 기업이 운영하는 방식의 핵심이다. 비스네스키는 이런 요건을 부담이라기보다는 기업(그리고 그 대상)이 데이터를 공유하는 방식을 개선하는 수단으로 보고 있다.

"GDPR과 프라이버시 프로그램을 협력업체들에게 책임을 맡기고 자신만이 공급업체 및 서드파티 개발자와 협력하며 그들에게 액세스를 제공하는 데이터를 보호하는데 활용할 수 있다."

해당 기업이 협력하는 모든 공급업체는 정보보안 설문지를 작성하고 데이터를 취급하는 사람은 더욱 엄격한 평가를 거쳐야 한다. 질문에는 보안 자세에 대한 정책, 데이터 암호화 및 보유, 데이터 액세스 제한 또는 철회 등이 포함될 수 있다. 적색등/녹색등 시스템이라기 보다는 포켓몬 보안팀이 통제책을 마련하고 활용하여 원활하고 안전한 통합을 추진할 수 있도록 고안되었다.

비스네스키는 자신의 팀이 서드파티를 거의 거부하지 않으며 이들과 협력하려고 한다 말했지만 이들이 거부했던 사례가 있다. 비스네스키는 "우리가 이런 것을 중요하게 생각한다는 소문이 퍼지고 있다. 우리가 공급업체를 합류시키면 이들은 '당신들이 원하는 것을 제공하기 위해 우리가 무엇을 할 수 있을까?', '당신들이 우리가 이것을 중요하게 여긴다고 느끼게 하려면 무엇을 해야 할까?'를 생각하게 된다"고 말했다.

비스네스키는 "우리는 이 사람들에게 책임만을 강요해서는 안 된다. 이런 기업이 이사회와 CFO에게 보안과 프라이버시에 투자해야 하는 이유에 대한 근거를 제시하는데 도움이 되고 있다고 생각한다. 이것이 밀물이 되어 모든 배가 떠오를 것이다"고 말했다.

미국의 CCPA(California’s Consumer Privacy Act), 브라질의 GDPL(General Data Protection Law)에 이어 GDPR이 등장한 것을 고려할 때, 비스네스키는 계획적으로 보안과 프라이버시를 기업에 스며들게 하는 것이 옳다고 생각한다. "프라이버시 프로그램을 위해 이런 형태의 계획을 수립하는 것이 미래를 위한 좋은 투자가 될 것이다. 성공하는 기업은 고객의 개인 정보를 보호하는 것을 중시하게 될 것이다." editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.