[SK 뉴스쿨 정보보안과] 5월 전공수업 리뷰2탄!! (네트워크 공격 위협, 정보시스템 취약점 진단)

​AI나 시스템 보안 진단 금융공학 등의 기술을 기반으로한 금융 서비스를 제공하는 주식회사 MILIZE. 이 회사가 AWS상에 구축하여 제공하고 있는 금융시스템의 개발에 있어서, 안티바이러스 소프트웨어의 도입과 취약성 진단 실시의 지원을 클래스메소드에 요청하고, 안건 단위로 실시하고 있습니다. 이를 통해 개발자는 서비스 개발에 집중할 수 있으며 현재는 몇 명의 프로젝트 매니저(PM)의 아래 연간 10건 이상의 안건을 진행하고 있습니다. 지원의 요청 경위와 의뢰 내용의 상세에 대해서, 핀테크 본부의 Izumi씨에게 이야기를 들었습니다.​스크래치 시스템에 안티 바이러스 소프트웨어도입 및 취약성 진단MILIZE는 2009년에 설립한 핀테크 기업입니다. 「사람을 생각해, 사람이 마음을 담아, 사람의 「미래도」를 창출하는 세계에.」를 비전으로 AI·빅데이터 서비스 사업, 개인 시스템 보안 진단 자산 형성 지원 사업, 금융·시장 서비스 사업을 전개하고 있습니다.​동사의 사업 중에서도 중심이 되는 것이 금융기관이나 파이낸셜 플레너(FP)를 위한 금융 어드바이저리 플랫폼입니다. 현재 독자적인 제품으로서 「milize」시리즈를 중심으로 한 핀테크 애플리케이션을 제공하고 있습니다. milize시리즈는 프로 FP용의 「milize Pro」, 금융 기관의 영업원·창구 담당용의 「milize basic」, 유저 완결형의 「milize Lite」의 3타입이 있어, 유저의 규모나 요구에 따라 선택이 가능합니다. 최근에는 milize 시리즈와 핀테크 앱에 생성 AI의 기능을 통합하는 등의 AI활용도 늘고 있습니다.​Izumi씨가 소속되있는 핀테크 본부 프로젝트 추진부에서는 milize 시리즈의 개발 및 도입 지원을 다루고 있습니다. 또한 milize 시리즈 외에도 금융기관이나 기업을 향해 금융시스템을 시스템 보안 진단 개별적으로 개발하여 제공하는 업무도 담당하고 있습니다. 이번, 클래스메소드에 안티바이러스 소프트의 도입과 취약성 진단의 지원을 요청한 것은, 기업의 복리 후생 대행 서비스 사업을 전개하는 거래처에 제공하고 있는 금융 개발 서비스의 개발 안건입니다.​「우리는 고객의 요구에 따라 기업용 연말 조정 시스템, 금여 품목 시스템, 워크플로우 시스템 등을 스크래치로 개발하고 있습니다. AWS상에서 이러한 시스템을 구축하는 안건이 생겼을 때에, 안티 바이러스 소프트웨어로서 트렌드 마이크로사의 Trend Cloud One(이하, Cloud One)의 도입과 취약성 진단으로서 GMO 사이버 보안 by예라사의 보안 진단 서비스의 실시를 정리해 클래스메소드에 의뢰하고 있습니다.」「항상 패키지로 부탁드립니다.」 라고 연락하면 완료 동사가 클래스메소드에 지원을 요청한 시스템 보안 진단 계기는 이전부터 클래스메소드 멤버스에 가입하여 AWS청구대행 서비스를 이용하고 있었기 때문입니다. 클래스메소드의 영업담당자와 일상적인 대화를 하던 중, 2021년 쯤에 손님용 금융 시스템을 스크래치 개발 안건에 대해서, Cloud One의 도입과 취약성 진단을 의뢰한 것이 시작이였습니다.그 후, 새로운 안건이 발생할때 마다 「이전과 같이 대응할 수 있습니까?」라고 똑같이 의뢰하여, Cloud One의 도입과 취약성 진단의 2개의 패키지화 한 형태의 서비스화와 이어졌습니다.​「이후, 「평소의 패키지로 부탁드립니다」라고 연락하는 것 만으로도 대응해 주셔서, 이야기하기 편했습니다.」 (Izumi씨)​구체적으로는, 안건이 발생하면 보안 대책 필수 요구 사항인 Cloud One 배포부터 시작합니다. 클래스메소드와 계약을 체결한 후 요구사항 확인을 통해 AWS에 Cloud One을 시스템 보안 진단 배포하는 엔지니어링 작업이 시작되고 약 2주만에 종료됩니다. 그 후, 클래스메소드가 동사와 GMO 사이버 보안 by옐라사를 중개해 주고, 약 1개월 정도의 취약성 진단을 실시합니다. 취약성 진단 서비스는 Web 애플리케이션 진단이나 네트워크 진단, 네이티브 앱 진단과 같은 메뉴가 있으며, 앤드유거가 요구하는 레벨에 응해 조합을 결정합니다. 취약성 진단은 1회 진단으로 끝날 때도 있으면, 진단 결과를 받고 실시한 대책을 확인하기 위해 재진단을 행하는 경우도 있습니다.​「현재는 4~5명의 PM이 고객을 위한 스크래치 개발 안건을 담당하고 있습니다만, 저 자신은 연간 2건 정도, 프로젝트 추진부 전체에서는 연간 10건 정도의 안건을 해내고 있습니다. 안건이 발생할 때 마다 시스템 보안 진단 패키지 형태로 지원을 의뢰하고 있습니다만, 클래스메소드와의 협의는 Backlog상에서 대화하는 정도입니다. 실무의 대부분을 맡기고 있어서, 저희들에게 부담은 없습니다. 결과로써, 고객과의 요건 검토나 프로젝트 관리 드으이 서비스 개발에 집중되어 있습니다.」 (Izumi씨)대응 창구의 일원화로 의해서비스 딜리버리 기간의 단축을 실현클래스메소드에 지원을 의뢰하는 메리트로서 패키지 제공에 의한 복수 벤더 대응의 창구 일원화를 들 수 있습니다. 이것에 의해 서비스 딜리버리 기간의 단축이 가능하게 됩니다. 또한, 「평소의 형태로 부탁드립니다.」라고 의뢰하는 것만으로 끝나기 때문에 회의 시간을 극한까지 없애, 커뮤니케이션 코스트가 최소화되고 있습니다.또한 클래스메소드 멤버스에 가입한 경우, AWS Marketplace에서 Cloud One을 구매하면 일반 가격에서 5%까지 할인을 받을 시스템 보안 진단 수 있으며 AWS 요금과 결제를 함께 할 수 있다는 점에서 이점이 있습니다. 클래스메소드의 영업 담당이나 엔지니어의 대응 등 전체의 서비스 품질에 대해, Izumi씨는 부드러운 커뮤니케이션이나, 고도의 엔지니어링력을 평가해 「안심하고 맡길 수 있다」라고 말하고 있습니다.​ 「자사에 인프라 인지니어가 적고, AWS에 관힌 지견은 많지 않습니다. 그러한 가운데, 요건을 전하면 패키징된 구조 중에서 대응해 줄 수 있고, 거의 전자동에 가까운 형태로 완료한다고 해, 클래스메소드는 빠트릴 수 없는 파트너 입니다. 문의에 대한 응답도 빨라, 클래스메소드의 경유로 AWS에 기술적인 문의를 할 수 있는 점도 저 자신에게 있어 만족입니다.」 (Izumi씨)사업 규모의 확대와 병행하여 계속 시스템 보안 진단 증가하는 안건에 대한 지속 지원을 기대앞으로는 클래스메소드의 강력한 지원 체제를 활용하여 다양한 기술 상담을 하면서 서비스를 강화해 나갈 방침입니다. 이미 보안 관련 상담을 통해서, 보안 컨설팅 서비스의 제안 등을 받고 있습니다.스크래치 개발의 안건에 대해서도, 계속해서 Cloud One의 도입과 취약성 진단 실시 패키지 지원에 기대하고 있습니다.​ 「사업 규모의 확대와 병행해 안건수도 늘어나, PM의 인원수도 늘고 있스빈다. 벌써 복수의 PM이 클래스메소드에 지원을 부탁하고 있지만, 의뢰 안건은 한층 더 늘어나겠다고 생각하기 때문에, 계속해서 지원을 기대하고 있습니다.」 (Izumi씨)​클래스메소드는 유연한 서비스 패키징을 통해 MILIZE의 사업 확대를 앞으로도 지원해 나갈 생각입니다.​​​클래스메소드코리아에 문의사항이 있으신 분들은