웹 취약점 점검 시간 절반 이하 단축⋯

정기적인 웹 서비스 보안 점검 통해 정보보호 앞장

온라인 게임 시장이 급속히 성장한 이래, 보안 위협 역시 함께 급증하며 계정 도용, 해킹 등 다양한 문제를 야기하고 있다. 때론 중요한 관리항목인 개인정보까지 대량으로 유출되며 사회적으로 큰 파장을 불러오기도 한다.

이런 보안위협을 막기 위해 온라인게임 업체들은 적지 않은 비용을 써가며 DB방화벽, 웹 방화벽 등 다양한 보안 장비를 그간 구비해왔다. 그러나 이와 같은 보안 솔루션을 우회하는 방식의 공격이 최근 매우 지능화되면서, 게임 업체들은 정보보호에 큰 어려움을 겪게 된다.

◆ 국내 대표 온라인 게임 기업인 네오위즈게임즈는, 철저한 보안 체계를 확립하며 개인정보보호에도 앞장서고 있다. 매년 급증하는 악의적인 해킹 시도로부터 사이트를 보호하고, 안전한 웹 서비스를 제공하기 위해 보안을 지속적으로 강화하고 있다.

이렇게 다양한 보안위협을 근본적으로 차단할 방법은 없을까? 답은 의외로 간단한 곳에서 찾을 수 있다. 웹 서비스를 개발하는 단계서부터 보안 취약점이 없는 코딩을 하면 문제를 자연스럽게 해결할 수 있다.

최근 보안 위협은 대개 웹의 취약점을 타고 기업 내부의 약한 곳을 공격하면서 심각한 보안 사고를 일으킨다. 이에 따라 웹의 보안 구멍을 막는 것은 무엇보다 시급하고 중요한 일이다.

[Background #1] 웹 취약점 점검 프로세스 개선책 절실

이처럼 웹 취약점을 틀어막는 것이 중요함을 충분히 인식하고 있었던 네오위즈게임즈 또한 안전한 웹 서비스를 고객에게 제공하기 위해 개발 단계부터 웹 취약점 점검 프로세스를 적용하고 있다.

적용의 절차는 복잡하지 않고 간단했다. 개발팀에서 웹을 통해 서비스되는 다양한 게임 프로그램 즉 웹 서비스를 만들면 보안팀엔 보안점검 요청이 내려진다. 보안팀은 점검 일정을 조율한 후 적정 수 인력을 투입해 모의 해킹이란 방법으로 웹 취약성을 점검하게 된다.

이후 웹 취약성 결과를 개발팀이 알기 쉽게 리포트로 꾸며 개발팀에 수정을 요청한 다음, 개발팀으로부터 피드백이 오면 최종 점검 후, 포털 사이트에 웹 서비스를 공개(퍼블리싱)하는 절차를 취했다. 그러나 이렇게 개발팀과 보안팀 간의 피드백만으로 이뤄진 이 간단한 보안 점검 절차는 보안담당자에겐 적지 않은 비효율성을 초래했다.

긴 취약성 점검 시간은 극복하기 어려운 사안이었다. 당시 보안 담당자는 수작업으로 모의 해킹하다 보니, 웹 취약점 점검에만 며칠씩 매달렸다. 이 때문에 보안 점검 후 웹 서비스 퍼블리싱까지 반달 가량이나 소요됐다.

  ◆ 네오위즈게임즈 역량 및 보안 환경 분석

점검 시간이 길어지면서 보안 담당자는 보안 정책 수립과 사내 인프라 보안 등 맡겨진 다양한 보안 업무를 모두 커버하는데 어려움을 겪게 된다. 게임 서비스를 신속히 제공해야 수익을 극대화할 수 있는 네오위즈게임즈로선 애가 탈 지경이었다.

문제는 또 있었다. 보안 담당자의 경험에만 전적으로 의존하는 종전 테스트 방법으론, 웹 서비스의 취약점을 100% 제거한 것으로 장담키 어려웠다.

[Background #2] “자동화만이 답이다” IBM 래쇼날 앱스캔 선택

더 이상 이런 문제점을 그대로 방치할 수 없었던 네오위즈게임즈는 웹 취약점 분석 툴이란 해결책에 관심을 갖는다. 이 분석 툴은 미리 정리된 웹 취약점 DB를 토대로 웹 서비스 취약점을 자동으로 테스트하는 역할을 수행한다.

도입 계획을 구체화한 네오위즈게임즈는 시중에 판매되고 있는 제품들을 여럿 모아 BMT를 진행했다.

이 과정에서 웹 취약점 DB의 보유량과 분석 처리 성능, 사용 편의성 등을 꼼꼼히 점검했으며, 테스트를 마친 올해 9월 모든 기준에서 최고 점수를 획득한 IBM의 래쇼날 앱스캔을 취약점 점검 솔루션으로 최종 낙점했다.

네오위즈게임즈는 선정 결과에 만족감을 표시했다. 보급률 기준으로 글로벌 1등인 앱스캔은 경쟁 제품과 비교해 최대량의 웹 취약점 DB를 보유하고 있으며, 취약점 분석 속도 또한 가장 빨랐다.

사용자 편의성도 높아, 비전문가들도 쉽게 이해할 수 있게끔 분석 결과물을 제공해, 오류의 수정이 매우 편리했다. 즉, 수작업으로 인한 점검의 비효율성을 해결하고 취약점 점검 커버리지를 높이기 위해선, 분석 처리 성능이 좋고 웹 취약점 DB를 최대한 많이 보유한 앱스캔이 최적의 대안이었다.

[Best Practice #1] “1주→하루”로 취약점 점검 시간 대폭 단축

네오위즈게임즈가 래쇼날 앱스캔을 도입하면서 세운 목표는 딱 두 가지였다. 첫 번째는 웹 보안 점검 과정을 효율화하고, 다음으로 웹 서비스의 모든 보안 취약점을 100% 제거하자는 것이었다.

앱스캔 도입으로 취약점 점검을 자동화할 수 있게 되면서 네오위즈게임즈는 ‘웹 보안 점검의 효율화’란 첫번째 목표를 쉽게 달성할 수 있었다.

예를 들면, 종전엔 보안 담당자의 수작업으로 진행했던 모의 해킹을, 도입한 앱스캔 툴이 자동으로 수행할 수 있게 됐다. 효과는 놀라웠다. 과거 8시간이나 소요했던 URL 점검 업무를 단 3시간 내에 끝낼 수 있게 된 것.

또한 골칫거리였던 웹 취약점 점검 프로세스(보안팀에 보안 의뢰가 들어온 순간부터 사이트에 최종 퍼블리싱되기 전까지 과정) 시간도 1주에서 하루로 대폭 단축할 수 있었다.

이처럼 웹 보안 점검을 자동화하면서 반대로 보안 담당자의 업무량은 줄어들었다. 보안 담당자가 직접 모의해킹을 하지 않고, 역시 직접 만들었던 리포트가 자동으로 생성되면서, 툴 도입 전과 비교해 해야 할 역할은 간결해졌다.

보안 담당자는 자동으로 생성된 리포트에 필요한 코멘트만을 적어 웹 서비스 개발자에게 전달하는 것으로 시간 소모성 업무량은 크게 줄었다.

반대로 웹 보안 점검 이외의 다른 중요 역할에 집중할 수 있었다. 웹 보안 점검은 보안 담당자가 해야 할 핵심 직무임에 틀림없지만, 보안 정책을 만들고 점검하는 활동도 못지않게 중요하다.

보안 담당자는 툴 도입 후 보안 정책의 수립 및 배포나 사내 인프라 보안 관리와 같은 중요 보안 업무에 집중할 수 있었다. 이렇게 본연의 업무에 집중할 수 있게 되면서, 네오위즈게임즈의 전체 시스템 보안성은 크게 강화됐다.

  ◆ IBM 래쇼날 앱스캔 도입 전과 후 비교

[Best Practice #2] 웹 취약점 없는 코딩 실현, 안전한 웹 서비스 제공

래쇼날 앱스캔 도입으로 네오위즈게임즈는 ‘웹 서비스 취약점 100% 제거’란 두 번째 목표에 근접할 수 있었다.

보안담당자가 미리 구성해 놓은 점검 항목을 근거로 보안 취약점을 검사하는 앱스캔은, 담당자가 원하는 항목만큼 빠짐없이 취약점을 점검할 수 있다.

아울러 이 제품은 글로벌 제품답게 국내에서 유행하는 해킹 패턴뿐만 아니라, 해외 유행 패턴까지 DB로 만들어 놓았다. 그래서 외국서 오는 해킹시도를 예방할 수 있었고, 결과적으론 보다 안전한 웹 서비스를 이용자들에게 제공했다.

이렇게 웹 서비스의 보안성을 강화한 이 회사는 대외 이미지까지 높일 수 있었다. 인터넷쇼핑몰이나 금융 사이트와 마찬가지로, 수많은 개인 정보를 보유한 온라인게임 포털에선 현금성 자산까지 거래된다.

이렇다 보니 보안 사고가 일단 터지면 이용자들은 치명적인 금전적 그리고 정신적 피해를 볼 수 있다. 회사 입장에선 개인에 대한 피해보상, 고객들의 외면 등 장기 비즈니스에 적신호를 켠다. 보안 사고가 직접적인 회사 매출의 손실까지 이어질 수 있다.

하지만 네오위즈게임즈는 앱스캔 도입으로 해킹으로 인한 이런 위험 가능성을 차단했다. 개발 단계에선 앱스캔이 보안 취약점을 제거하고, 이후 운영단계에선 DB방화벽, 웹 방화벽 등 보안 장비로 웹 공격을 방어하는 이중삼중의 방어망을 마련함으로써, 보안 불안에서 한결 자유로워질 수 있었다.

[Best Practice #3] 스케줄링 적용, 원하는 때 원하는 만큼 정밀 테스트

다양한 앱스캔 기능 중 스케줄링은 주목할 만하다. 이 방법을 활용하면 예약 기능을 써, 자동으로 웹 서비스를 점검할 수 있다.

이미 고객에게 제공하는 웹 프로그램에서 보안 취약점을 점검하기란 쉬운 일은 아니다. 취약점 점검을 위해선 웹 취약점 DB를 이용해 프로그램에 쿼리를 보내야 한다. 그런데 이런 작업을 사용자들이 서비스를 이용하는 시간에 진행하면, 서버에 큰 부하가 생길 수 있다.

때문에 네오위즈게임즈는 늘 이용자가 없는 새벽 시간에 담당자들이 직접 수작업으로 점검을 진행했다. 작업 효율에 문제가 생길 수 있었다.

앱스캔은 이 문제를 말끔히 해결해 주었다. 담당자가 "몇 시부터 몇 시까지 어떤 서비스의 취약점을 점검하라"고 지정해 놓으면, 앱스캔은 자동으로 이를 점검한 이후 리포트까지 생성해준다.

스케줄링 기능을 이용한 이후, 보안 담당자는 새벽에 작업하지 않고 아침에 출근해 완성된 리포트만 검토하면 됐다. 원하는 때 원하는 만큼 자동으로 취약점을 점검할 수 있게 되면서 궁극적으론 웹 서비스의 보안을 강화할 수 있었다.

 ◆ IBM 래쇼날 앱스캔 도입 효과 및 기대 효과

[Plan] 글로벌 진출 속도전, 앱스캔 활용도 높인다

네오위즈게임즈는 앞으로 래쇼날 앱스캔을 더 적극 활용해 대외 서비스의 보안을 한층 더 높일 계획이다.

솔루션 도입 전에도 정기, 비정기적인 취약점 점검을 했지만, 인력 및 시간 부족으로 그 점검 횟수엔 한계가 있었다. 이런 문제점을 개선하기 위해 회사 측은 자동으로 웹 취약점을 테스트하는 앱스캔을 이용해 보안 점검 횟수를 종전보다 확대할 계획이다.

네오위즈게임즈는 장기적으로 글로벌 1등 게임 회사란 기업 비전에 걸맞게, 보다 안정적인 보안 인프라를 갖춰나갈 방침이다.

이 회사는 2007년 일본 최대 온라인 게임업체인 게임온을 인수하면서 일본 시장에서의 영업을 넓혀왔다. 아울러 2008년엔 미국과 중국 법인을 설립해 해외시장 진출을 위한 기반을 마련해 왔다.

이 같은 글로벌 경영에 적극 대응하기 위해 네오위즈게임즈는 앱스캔의 활용도를 더욱 높여 외부 공격을 사전에 차단하고, 사용자들에게 최상의 웹 서비스를 제공할 계획이다.

<데일리그리드>