품질 보증
LAB 메인으로 돌아가기
게임, 앱을 안전하게 만들기 위한 QA, DevOps, 침투 테스트 팀 간의 협업 방법에 대해
PTW에서는 게임과 앱 보안을 중요하게 받아들이고 있습니다. 고객사의 고객을 안전하게 보호할 수 있도록 품질 보증, DevOps, 침투 테스트 팀이 참여하는 삼중 접근 방식을 취하고 있습니다. 저희는 보안에 있어 가장 중요한 측면들이 제대로 처리될 수 있도록 고객사의 개발팀, DevOps, QA팀과 그 밖의 다른 팀과도 협업하고 있습니다.
앱 또는 게임을 개발하는 회사가 사용자를 안전하게 지키려면 어떻게 해야 할까요? 사용자 보안은 세 가지 측면에서 살펴볼 수 있습니다:
1. 안전한 사용자는 본인의 개인 정보가 공개되지 않습니다.
2. 안전한 사용자는 로그인 정보가 해당 기업만 접근 가능하며, 어떤 해커도 자신의 계정에 접근할 수 없는 사람입니다.
3. 안전한 사용자는 앱 또는 게임이 올바르게 작동하기를 기대하며, 해당 앱 또는 게임을 사용하는 사람들에게도 동일한 규칙이 적용되기를 희망합니다(치터를 허용하지 않습니다).
기업이 보안의 세 가지 측면 모두를 균형 있게 관리하지 못할 경우, 자주 뉴스에 보도되는 보안 침해 사건으로 이어질 수 있습니다. 예를 들어, Norton Healthcare는 최근 해킹 그룹이 매우 민감한 의학적 정보를 포함한 수백만 환자들의 정보에 접근했음을 밝혔습니다. 이런 사건들은 발생 빈도나 심각성이 점점 올라만 가고 있습니다.
PTW 기술 부문 이사로 IT 및 사이버 보안 부서를 이끌고 있는 Harlan Beverly는 "보안이라는 것은 기업 전채의 책임이지, 몇몇 선택된 개인들에 국한된 것이 아닙니다"라고 말하며, "PTW는 사용자 보안을 위해 QA, DevOps 및 침투 테스트 등 필요한 작업을 수행함에 있어 고객사의 모든 부서와 협력한 것에 자부심을 느끼고 있습니다"라고 말했습니다.
사용자 보안에 대해 논할 때 당연하게도 침투 테스트는 중요합니다. 이러한 종류의 테스트는 해커가 사용하는 것과 유사한 도구와 기술을 사용할 수 있는 훈련된 보안 전문가를 통해 이뤄집니다. 이런 보안 전문가의 역할에 대해 Harlan은 "이러한 '화이트햇 해커'는 해커가 하는 방식과 유사하게 서버 및 데이터베이스 침투를 시도하지만, 악용될 수 있는 부분이나 약점을 찾아내어, 불순한 의도를 가진 사람들이 이를 찾아내기 전에 이를 수정하는 것을 목표로 합니다."라고 정의하며, "사용자 안전을 유지하는데 이는 핵심적인 부분이며, PTW에서는 NinjaScan으로 불리는 서비스를 게임 또는 앱을 만들고 유지하는 모든 고객들에게 제안하고 있습니다."라고 설명했습니다.
QA 또한 사용자 안전을 유지하는데 중요한 역할을 합니다. QA 팀에서는 게임이나 앱에서 정보가 유출될 수 있는 버그나 중요한 결함이 없는지 확인합니다. Harlan은 "사용자의 개인 데이터가 노출될 수 있는 만큼 이러한 문제는 치명적일 것입니다."라고 경고합니다. "QA는 이런 일이 일어나지 않도록 합니다. QA가 언제나 완벽한 것은 아닙니다만, 취약점 테스트(Exploitation Testing)를 통해 QA 팀은 사용자에게 피해를 줄 수 있는 몇 가지 잠재적인 공격을 찾아낼 수 있습니다."라고 QA의 역할을 강조했습니다. 게임의 경우, 게이머가 속임수를 쓰고 다른 게이머보다 이점을 취할 수 있는 부분 또한 포함됩니다.
PTW와 함께 일해 본 분들께서는 저희가 게임 회사들에게 QA 서비스를 제공하고 있으며 중대한 결함과 잠재적인 보안 문제를 찾아내고 있다는 것을 알고 계십니다. Harlan은 더 나아가 "PTW에서는 NinjaHack이라는 새로운 서비스를 제공하고 있으며, 이를 이용하여 QA 또는 라이브 프로덕션 팀이 함께 이러한 취약점을 함께 찾아볼 수 있습니다. 당사의 전문가 팀은 앱을 통해 속임수나 편익을 얻길 원하는 사람처럼 행동하면서 이러한 취약점을 찾아내고 사용자들이 이를 찾아내어 악용하기 전 고객와 함께 이를 발견하여 패치를 적용할 수 있도록 도와드리고 있습니다"라고 했습니다.
마지막으로, DevOps는 모든 서버를 최신 상태로 유지하고, 네트워크 인프라가 안전한지 확인함으로써 사용자를 안전하게 보호합니다. “PTW의 NinjaScan 및 NinjaHack 서비스는 고객사의 DevOps 그룹과 직접 협업하면서 잠재적 취약점을 판별할 뿐만 아니라 제대로 패치가 이뤄지도록 해 드립니다." 패치가 끝나면 PTW에서는 무료로 다시 검수를 진행하여 패치가 성공적이었는지 확인합니다.
Harlan은 "이 모든 것은 표준 관행이며 업계 관계자들에게 알려져 있습니다."라고 말을 이었습니다. "하지만 '왜 모든 회사들은 정상적이고 적절한, 이러한 예방 조치를 취하지 않는가?' 라는 질문을 던지게 만듭니다. 비용을 절약하는 것은 좋은 이유가 못되는데, 장기적으로 본다면 사용자들은 결국 문제점을 알게 되고 해당 앱이나 게임을 이용하지 않을 겁니다." Harlan은 PTW가 고객사의 모든 부서와 협력, 서비스를 이용하는 모든 사용자를 안전하게 보호함으로써 고객을 도울 준비가 되어 있음을 보장합니다.