IAG Group은 아시아 태평양 지역의 주요 보험사 중 하나로, 연간 약 114억 호주 달러의 보험료로 수백만 명의 고객을 위한 보험을 인수하고 있습니다. 비앙카 워스는 IAG 그룹의 기업 보안 교육 및 인식 관리자입니다. 개발팀 내에서 철저한 보안 인식과 관행이 필요하다는 것을 잘 알고 있는 그녀는 팀이 중요한 보안 코딩 기술을 배울 수 있는 혁신적이고 최적의 환경을 조성하기 위해 노력했습니다.

입력: 코드 게임

도전 과제

개발자는 여러 결과물과 프로젝트를 처리하느라 시간이 부족할 때가 많습니다. 하지만 해커로부터 수백만 개의 민감한 고객 데이터 프로필을 안전하게 보호해야 하는 조직은 물론 모든 조직에서 보안 모범 사례를 최신 상태로 유지하는 것이 가장 중요합니다. 비앙카와 그녀의 팀은 사이버 보안 이니셔티브를 더욱 강력하게 만들기 위한 명확한 목표를 세웠습니다. 이들은 IAG가 개발한 애플리케이션의 공격 면적을 최소화하는 것이 최우선 과제라고 판단하고 개발자를 교육하여 중요하고 위험도가 높은 취약점을 식별하고 수정하는 방식으로 접근하기로 했습니다. 장시간의 보안 코딩 교육( courses )은 분명 존재하지만, 힘들고 지루할 수 있으며 엄격한 납품 일정으로 인해 핵심 인력이 개발 프로젝트에서 멀어져 비즈니스 전반에 부담을 줄 수 있습니다. 업무량과 운영에 미치는 영향을 최소화하면서 개발팀의 역량을 빠르게 향상시켜야 할 필요성이 분명해졌습니다. 호주와 뉴질랜드의 개발자들이 각각 서로 다른 시스템에서 작업하고 있었기 때문에 이는 결코 쉬운 일이 아니었습니다.

"올해 저는 소스 코드를 변경하여 SQL 인젝션 취약점을 제거했습니다. 이 점에 대해 Game of Codes의 공로를 인정하고 싶습니다. 보안 코딩을 염두에 두는 것만으로도 큰 도움이 됩니다. 보안이 모든 사람에게 가장 즐거운 주제는 아니기 때문에 이 대회는 사람들이 최선을 다하도록 독려하는 좋은 방법입니다." R, IAG 개발자

구현

비앙카는 게임화된 교육 경험의 출시를 전략화하여 팀 및 Secure Code Warrior 과 협력하여 tournaments 을 구현하고 사내 개발자의 기술 향상을 위한 교육을 실시했습니다. 이를 위해서는 건전한 커뮤니케이션 전략을 수립하는 것은 물론, 완전히 새로운 플랫폼을 채택하고 그 잠재력을 최대한 활용하려는 직원들의 다양한 동기와 개성을 충족하는 것이 필수적이었습니다:

"직원과 주요 이해관계자가 알아야 할 사항, 핵심 메시지, 응답을 유도하기 위해 어떤 인센티브를 제공할 것인지에 대한 커뮤니케이션 계획을 수립했습니다. 대부분의 사람들은 게임화된 경험을 정말 좋아합니다. 다만 개개인의 성격과 동기, 그리고 무엇이 그들을 움직이게 하느냐에 따라 다릅니다. 그렇기 때문에 저희는 사람들의 다양한 동기를 충족시키기 위해 노력합니다. 어떤 사람들은 상금을 좋아하고, 어떤 사람들은 성취감 그 자체만으로도 충분합니다." 라고 그녀는 말합니다.

비앙카와 IAG는 Secure Code Warrior의 게임화( learning platform)를 전문적으로 선보여 tournament 를 '게임 오브 코드'라는 재미있는 경쟁 경험으로 탈바꿈시켰으며, 중세 시대 테마의 집(브랜드 플레이어 상품으로 완성)에 배치된 직원들이 HBO에서 제작한 이름에 걸맞은 전투를 펼쳤습니다.

tournament 대회는 곧 호주와 뉴질랜드의 대결이 예정되어 있는 등 국제 무대까지 진출했습니다. 이를 통해 IAG는 양국의 주요 보안 챔피언을 파악할 수 있을 뿐만 아니라 팀들이 함께 기술을 향상시킬 수 있는 기회를 제공합니다.

결과

게임 오브 코드는 사실상 전문 교육 프로그램입니다. 인터랙티브하고 재미있는 tournament 형태로 출시되어 직원들이 다양한 방식으로 참여할 수 있었지만, 개발자에게 IAG가 개발한 애플리케이션의 고위험 취약점을 식별하고 차단하는 데 필요한 기술을 제공한다는 훈련의 핵심적인 실용성은 그대로 유지되었습니다.

개발자와 보안팀 모두 보안을 최우선으로 하는 사고방식으로 작업하고, 취약점을 처음부터 식별할 뿐만 아니라 수정할 수 있는 역량을 갖추도록 함으로써 IAG는 비용이 많이 드는 모의 침투 테스트 연습과 이를 수행하는 팀의 부담을 줄일 수 있을 것으로 기대합니다.

이 중요한 역량이 지속적으로 개발되는 것 외에도 Game of Codes는 관계 형성에 도움이 되어 참여 팀 간에 동지애와 우호적인 경쟁심을 불어넣는 한편, 개인이 점수를 매기는 tournament 환경에서 자신의 안전한 코딩 능력을 측정하는 것을 보면서 자신감을 가질 수 있도록 도와줍니다.

비앙카는 이 프로그램에 대한 내부 지원이 엄청났으며 경영진의 긍정적인 반응이 있었다고 말했습니다. 또한 이 프로그램을 홍보하고 조직 내에서 보안을 옹호하는 데 관심이 있는 개인이 참여할 수 있는 앰배서더 프로그램도 마련되었습니다:

"일부 개발자에게는 환상적인 노출이 되었고 자신의 기술을 홍보할 수 있는 훌륭한 기회였습니다. 그들은 자신의 업무에서도 이러한 혜택을 누리고 있으며, 이는 매우 중요한 일입니다."

'단순한 게임'이거나 부서 관리자가 규정 준수 교육을 더 즐겁게 이수할 수 있는 방법이 아닌, 보안 초보자를 보안 챔피언으로 빠르게 전환하여 대규모 침해 위험을 최소화하는 데 필수적인 높은 유지율과 참여도를 자랑하는 솔루션을 제공합니다.

그리고 비앙카가 직접 전하는 최고의 조언도 있습니다:

"어떤 프로그램을 배포하고 사람들이 그냥 사용하기만 하면 효과가 없을 것입니다. 변화된 행동을 유도하고 동기를 부여할 수 있는 프로그램을 설계해야 합니다. 우리가 구축한 것은 본질적으로 보안에 중점을 둔 개발자 변경 관리 프로그램입니다."

"게임 오브 코드 교육 세션을 수강한 후 보안에 더 관심을 갖게 되었고 자동화 테스트를 만들 때 보안에 대해 더 많이 생각하게 되었습니다. 저는 애자일 팀의 선임 테스터인데, 이 교육 세션을 통해 보안 테스트에 대해 더 많이 배우고 전문 분야로 생각하게 되었습니다." A, IAG 선임 테스터

요약 정보 

• 게임화된 학습 외에도 IAG는 개발자 채용 시 기술 테스트 도구로 Secure Code Warrior 를 활용하고 있습니다.
• 개발팀의 100%에게 프로그램을 배포하는 중이며, 55%는 이미 시스템에서 활동 중입니다.  
• 이들은 시간이 지남에 따라 위험을 최소화하고 비용을 절감하는 프로그램의 성공을 측정할 수 있는 주요 내부 지표 세트를 개발했습니다.
  ↪f_200D↩