금융 거래를 신뢰에 기반한 경험으로 전환하는 데 도움을 주는 Paysafe는 연간 152B 달러 이상의 거래량을 처리하는 안전하고 원활한 플랫폼을 제공하기 위해서는 기본적인 규정 준수 표준을 충족하는 것 이상의 것이 필요하다는 것을 알고 있습니다. 지난 4년 동안 Paysafe는 Secure Code Warrior 파트너십을 통해 개발자 위험 관리에 대한 총체적인 접근 방식을 지속적으로 추진하고 있으며, 애플리케이션 보안 프로그램은 다음과 같은 전반적인 비즈니스 요구사항에 긍정적인 영향을 미치고 있습니다:
주요 내용
- 초기 코드 개발 주기 동안 첫 번째 SAST 스캔으로 식별된 취약점 대폭 감소
- 코드 재작업 시간 단축으로 개발자 생산성 최대 45% 향상
- 금융 서비스 업계에서 4위를 차지한 최고 수준의 SCW Trust Score®.
- 앱보안과 개발 팀 간의 연결성 및 조정 강화
과제: 페이세이프 전반에 걸친 보안 코드 표준 강화
다국적 온라인 결제 서비스 제공업체인 Paysafe는 보안 코딩을 단순히 PCI DSS 규정 준수 요건을 충족하는 것 이상의 전략적 우선 순위로 인식해 왔습니다. 전문가가 주도하는 공식적인 강의실 교육 세션과 기술 평가가 초기 노력의 일부였지만, Paysafe의 목표는 항상 보안 코딩 이니셔티브의 범위와 규모를 지속적으로 확장하여 애플리케이션 보안에 대한 업계 최고의 접근 방식을 보장하고 엔지니어가 처음부터 안전한 코드를 작성하도록 하는 것이었습니다.
"저희는 단순히 교육을 제공했다는 확인란에 체크하는 것으로 끝나는 것이 아닙니다. 우리의 목표는 직원들에게 지속적인 발전 상황을 알리는 것입니다. 우리는 항상 더 나아지고 더 많은 일을 하기 위해 노력하고 있습니다. 엔지니어링 팀과 보안 팀의 협업을 원합니다. 스스로 개발할 수 있는 팀은 더 많은 정보를 얻고 더 나은 코드를 설계할 수 있습니다."라고 Paysafe의 인력 개발 파트너 보얀 히스토브는 말합니다.
Paysafe의 비전은 소프트웨어 개발 라이프사이클의 모든 단계에 보안 코딩 관행을 도입하는 보안 인식 엔지니어를 양성하여 보안에 대한 인식을 전환하는 것이었습니다. 이를 지원하기 위해 PCI 규정 준수를 위한 감사 증거를 제공할 뿐만 아니라 깊고 지속적인 문화적 변화를 이끌어낼 수 있는 확장 가능하고 참여도가 높으며 지속적인 프로그램이 필요했습니다. 여기에는 게임화된 학습 경험, 정기 tournaments, 상시 교육이 포함되어 개발자의 참여를 유도하고 업계 보안 트렌드의 선두에 서도록 지원했습니다.
솔루션: Secure Code Warrior 통한 최첨단 접근 방식
Paysafe는 보안 코딩 관행을 확장하고, 엔지니어를 참여시키고, 개발 수명 주기 초기에 보안을 내장하기 위해 Secure Code Warrior개발자 위험 관리 플랫폼을 채택했습니다. 보안 챔피언 프로그램은 시간이 지남에 따라 성장했으며, Secure Code Warrior 사이버 위험 예방 목표를 달성하는 데 중요한 역할을 하고 있습니다.
Paysafe는 개발자가 플랫폼에 유기적으로 참여할 수 있도록 하여 개발자의 참여와 흥미를 유도하기 위해 매력적인 상품이 걸린 tournaments 같은 게임형 활동을 장려했습니다. 프로그램 출시 초기에는 PCI 규정 준수 요건을 충족하기 위해 일부 평가를 의무화하고 다른 콘텐츠와 활동은 옵션으로 제공했습니다.
프로그램이 주목을 받자 경영진은 추가 지원을 제공하여 개발 및 인포섹 팀의 목표를 더욱 일치시켰습니다. 이를 통해 Paysafe 팀은 프로그램을 한 단계 더 발전시키고 지정된 KPI와 성공 인센티브가 있는 보다 공식적인 인증 프로그램을 도입할 수 있었습니다.
프로그램의 다음 단계는 업계 표준인 OWASP 상위 10개 주제에 초점을 맞추었으며, 개발자가 다양한 수준의 성취도를 통해 인증 단계를 밟을 수 있도록 했습니다. 이제 이 프로그램은 새로운 수준의 규모와 성숙도에 도달하여 정규직부터 비정규직에 이르기까지 모든 개발자의 기본 기준을 높였습니다.
"지난 4년간 SCW와 구축한 파트너십을 매우 소중하게 생각합니다. 우리는 함께 목표에 맞는 애플리케이션 보안 교육을 제공하고 보안 팀과 엔지니어링 팀 간의 관계를 더욱 공고히 할 수 있었으며, 보안 코드를 처음부터 가능한 한 빨리 개발하겠다는 공동의 약속을 바탕으로 SDLC를 조기에 구축했습니다."라고 Paysafe의 최고 정보 보안 책임자인 앨런 오스본(Alan Osborne)이 말합니다.
CISO, CTO 및 엔지니어링 전반의 경영진의 지속적인 지원과 조율에 힘입어 Paysafe는 Secure Code Warrior 파트너십을 맺고 프로그램을 지속적으로 발전시켜 왔습니다. 현재 이 프로그램은 비즈니스 요구사항과 긴밀하게 연계되어 가시적인 성과를 제공하고 있으며 내부 팀에게 관련성과 참여도를 유지하고 있습니다.
결과: 조직 전반의 보안 코드를 위한 새로운 표준
Paysafe의 애플리케이션 보안 이니셔티브는 4년 전 여정을 시작한 이래로 개선되었습니다. Secure Code Warrior 파트너십을 통해 Paysafe는 개발자 위험 관리에 대한 총체적인 접근 방식이 조직 전체에 미칠 수 있는 엄청난 영향력을 입증했습니다.
Paysafe의 SAST 스캔 데이터 분석에 따르면 Secure Code Warrior 훈련받은 팀이 개발한 애플리케이션은 개발 초기 단계 스캔에서 발견된 취약점이 눈에 띄게 감소한 것으로 나타났습니다. 개발자가 SCW 플랫폼에 더 적극적으로 참여한 팀에서는 첫 번째 스캔에서 발견된 취약점의 수가 더 많이 감소했습니다.
Secure Code Warrior 가장 높은 수준의 활동과 참여를 보인 팀은 초기 개발 단계에서 발견된 취약점이 전년 대비 크게 감소하여 안전한 코딩 습관을 강화하는 데 있어 지속적인 기술 기반 교육의 부가가치가 있음을 강조했습니다. 처음부터 보안 코드를 작성함으로써 해당 팀과 SDLC를 따르는 다른 팀들은 상당한 시간을 절약할 수 있었습니다. 초기 개발 단계에서 코드 취약성을 방지함으로써 코드 취약성을 식별하고, 기록하고, 재작업할 필요가 없어져 수천 시간의 개발 시간이 절약되었습니다. 그 결과 개발자 생산성이 45% 향상되어 보안 코드 업스킬링의 이점을 입증하고 일상적인 개발 프로세스를 개선하는 데 도움이 되었습니다. 엔지니어링 팀과 앱보안 팀 모두에게 윈윈입니다.
보안 코드에 대한 Paysafe의 헌신 덕분에 은행 및 금융 서비스 벤치마크에서 SCW Trust Score® 4위를 달성할 수 있었습니다. 이는 자랑스러운 성과이지만, 보안 코드 이니셔티브에 대한 Paysafe의 노력은 여기서 멈추지 않습니다. Secure Code Warrior 파트너십을 통해 얻은 성과에 고무된 Paysafe는 프로그램을 더욱 발전시키고자 합니다.
"Secure Code Warrior 개발자의 생산성을 높이고, 제품 및 개선 사항을 시장에 출시하는 능력을 가속화하며, 시간이 지남에 따라 비용과 위험을 크게 줄이는 데 도움이 되었습니다."라고 Paysafe의 최고 정보 보안 책임자인 Alan Osborne은 말합니다. "우리는 향상된 개발자 교육을 통해 보안 코딩이 단순히 '있으면 좋은 것'이 아니라 개발자의 기술, 경험 및 역량을 강화하는 동시에 실질적인 ROI를 제공하는 입증된 투자라는 것을 입증했습니다."
다음으로, Paysafe는 거버넌스 및 위험 관리 조치를 프로세스에 추가로 통합하여 Secure Code Warrior 표준을 더욱 운영하고자 하며, SCW Trust Agent와 오랜 파트너십을 강화하고 사이버 보안 우수성을 위한 노력을 입증하고자 합니다.