IT 관리 / 개발자 / 보안

미국 웨스턴 거버너스 대학교의 ‘원점 회귀 보안’ 성공사례

Mary K. Pratt | CSO 2022.02.23
웨스턴 거버너스 대학교(Western Governors University, WGU)의 보안 담당 VP 제임스 챈들러는 ‘원점 회귀 보안(Shifting security left)’에 성공했다. 챈들러는 일종의 비즈니스 프로세스를 통해 데브옵스팀이 일정한 기준을 충족해야 하는 채점표 시스템을 구축했다. 예컨대 각 팀은 최고 점수를 획득해야 각자의 코드를 승인 없이 배포할 수 있고, 점수가 낮으면 이유를 해명해야 한다.
 
ⓒ Getty Images Bank

챈들러는 “보안이 개발 생애주기 시작부터 계속 흘러갈 수 있도록 보안을 원점으로 회귀시키는 것이 중요하다. 보안은 보안팀이 문제를 발견한 후 개발자에게 해결을 부탁할 때보다 개발자가 일상 업무 중에 관여할 때 성과가 훨씬 좋다. 이런 이유로 WGU는 보안 원점 회귀를 중점적으로 추진했다”라고 설명했다. 

보안 개선을 위해 채점표를 만들게 된 것은 기술 인프라의 성능에 대한 우려 때문이었다. 미국 유타주 솔트레이크시티에 위치한 WGU는 소외계층을 대상으로 한 고등교육 제공에 주력하는 100% 온라인으로 수업을 진행하는 대학교이며, 재학생 13만 명 가운데 대부분이 미국에 거주한다. 이런 특성상 챈들러는 교내 기술 책임자와 함께 3대 보안 요소인 데이터의 기밀성, 무결성, 가용성은 물론 시스템의 신뢰성을 개선할 방법을 꾸준히 모색했다.

하지만 챈들러와 동료들은 지난 2019년 초 실시한 성능 데이터 평가에서 WGU 시스템의 신뢰성이 수준 이하라는 결론을 내렸다. 교내 플랫폼에서 정전이 발생해 학생과 교직원이 모두 피해를 입었던 상황이 발생한 것이다. 챈들러는 “이런 사태에 먼저 주목해야 한다. 학생에게 피해를 끼치면 그 즉시 심각도 1의 문제로 격상된다”라고 말했다. 


1단계 : 각 팀의 기대치 일치

WGU의 IT 및 보안 책임자는 학교 도메인 내 기존 비즈니스 프로세스로는 소프트웨어를 3대 보안요소에 따라 성공적으로 배치하는 것이 어렵다고 판단했다. 이런 상황이 된 것에는 여러 이유가 있었다. 

먼저, WGU의 인프라는 1,000곳이 넘는 서드파티 업체와 수십 개의 제품팀이 관여할 정도로 복잡했기 때문에 보안 요건을 충족하는 것이 어려웠다. 예컨대 취약점을 적시에 보완하는 작업은 보안팀에서 엔지니어링팀에 이르는 다양한 팀의 작업에 영향을 주는 경우가 많았다. 보안팀과 IT팀의 기대치가 서로 다른 것도 문제였다. 

챈들러는 “WGU의 목표는 네트워크 및 서비스 가용성 99.999% 달성이었다. 신속한 문제 해결 방법과 관련해 서로 다른 의견을 일치시키기 어려워 보안 목표를 달성하지 못했다. 동료들과 상황을 검토한 결과, 조직 차원의 변화 없이는 보안 성과 개선은 물론 학생의 전반적인 사용 경험 개선도 불가능하다는 결론을 내렸다”라고 말했다. 

그야말로 벽에 부딪힌 상황이었지만, WGU는 다양한 원인을 파악한 후 실현할 수 있는 해결책을 모색하기 시작했다. 챈들러는 보안뿐 아니라 IT 인프라, 기술 운용 및 교육 기술을 총괄하는 다른 VP들과 협력해 최선책을 찾기 시작했다.

그다음에는 문제를 점검하고 해결책을 제시할 위원회를 조직했고, 엔지니어링과 총괄 운용과 같은 관련 분야를 직접 감독하고 VP에게 직접 보고하는 책임자 7명을 위원회 구성원으로 지정했다. 몇 달간의 작업을 거친 위원회는 2019년 가을, 시스템의 신뢰성과 가용성을 위해 ▲가용성(99.99%) ▲문제 해결(30분 미만) ▲문제 기록 오류 예산(심각도 벌점 100점 미만) ▲보안 위생도(0 미만) ▲근본 원인 분석 작업 위생도(0 미만) 5가지 항목의 성능을 추적 및 측정하는 채점표를 제안했다. 

위원회가 제안한 채점표는 운영 지표의 일부가 되었고 점수는 애자일 개발 관리 프로세스의 일환으로 서비스나우(ServiceNow) 플랫폼에 전자 형식으로 기록하기로 했다. 각 팀은 각자 채점표를 제출한 뒤 점수를 해명해야 하며 업데이트나 배포해야 할 새 코드가 있을 때 채점표를 사용해야 한다.


2단계 : 점수 기록

여러 실행 계층을 갖춘 채점표 덕분에 최고 수준을 유지할 의욕이 높아졌다. 예를 들어, 5점을 받은 팀은 코드를 배포할 자유를 가장 많이 누리지만, 최저 점수를 받은 팀은 승인 같은 추가 요건이 많이 붙는다. 챈들러는 “최저 점수를 받은 팀은 기본적으로 프로그램을 따라오지 못하는 셈이니 지켜보는 눈이 많다”라고 설명했다. 4점에서 3점, 2점으로 내려갈수록 각 점수에 해당하는 요구 사항의 수준이 높아진다. 2020년 선택사항으로 도입한 채점표는 지금 의무화됐다. 

챈들러는 “채점표 덕분에 각 팀의 업무가 데브옵스(DevOps)에서 보안을 가미한 데브섹옵스(DevSecOps)에 더 가까워졌다. 데브섹옵스에 완전히 도달한 것인지는 모르겠지만, 옳은 방향으로 큰 걸음을 내디뎠다고 생각한다. 초기 단계부터 보안을 고려해 생애주기 전반에 걸쳐 유지한다”라고 말했다. 

개인의 책임감과 일체감은 물론 공동의 책임감도 더 많이 생겼다. 챈들러는 “5가지 항목을 하나의 채점표에 통합한 덕분에 각 팀은 다른 팀의 지원 하에 각자 다른 분야를 책임진다는 사실을 쉽게 이해할 수 있다. 채점표는 기대치 설정 작업의 일환이었다”라고 덧붙였다. 

또한 실무진과 직접적으로 일하는 책임자들이 채점표의 개념을 제시했기 때문에 빠르고 성공적인 채택이 가능했다. 챈들러는 “위원회의 책임자들이 직접 채점표를 마련했다. 책임자들은 담당팀에 가서 ‘우리가 하는 일은 이것’이라고 설명했다. 고위 임원에서부터 내려오는 하향식이 아니었기 때문에 도입 절차가 훨씬 수월했다”라고 말했다. 


3단계 : 보상 수확

채점표를 사용하자 건전한 경쟁력도 생겼다. 각 팀은 격주 회의 때 인정받기 위해 고득점을 목표로 한다. 챈들러에 따르면, 2주라는 기간 동안 모든 팀이 최고점인 5점을 획득하는 일은 드물고, 대다수가 4점을 획득하는 것이 평균적이다. 

점수가 낮은 팀은 격주 회의 때 의무적으로 각 팀의 애로사항을 의논해야 한다. 점수가 낮은 팀을 처벌하는 것이 목적이 아니라, 아이디어를 모으고 인사이트와 동료 구성원의 도움을 얻을 기회를 부여하는 것이 목적이다. 특히 낮은 점수를 받은 요인 중에는 구식 기술을 사용하는 작업처럼 다른 사람이 직면한 문제와 관련된 것도 있기 때문이다. 자연스럽게 각 팀은 각자 고립된 팀이 아닌, 일종의 커뮤니티를 형성하게 됐다.

채점표 프로세스를 채택하면서 WGU 인프라의 보안과 성능도 빠르게 개선됐다. 챈들러는 도입 한 달 만에 시스템 가동 시간 같은 다양한 분야에서 개선을 목격했다. 구체적으로 채점표 시행 이후 보안 티켓 위반은 62%, 취약점은 72%, 보안 문제 평균 해결 시간은 34% 감소했다. 

챈들러는 앞으로 긍정적인 성과가 더욱 늘어날 것으로 전망했다. WGU는 앞으로 채점표 프로세스를 계속해서 사용할 뿐 아니라 채점표 요건을 늘려 각 부서의 성과를 점진적으로 높일 계획이다. 챈들러는 “주어진 과제와 문제를 해결했다. 이제는 ‘우리가 개선할 수 있는 다음 분야는 무엇인가’를 검토하고 있다”라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.