엔씨소프트, AWS 서비스로 SIEM 구축해 보안 가시성 확보

AWS 다중 계정 환경을 위한 보안 강화

리니지W는 지난 2021년 11월 출시된 엔씨소프트의 대표 IP ‘리니지’ 시리즈를 잇는 MMORPG입니다. 엔씨소프트는 국내 서비스를 넘어 글로벌 수준에서 더 많은 플레이어가 동등하게 경험하고 몰입할 수 있는 글로벌 원빌드를 목표로 론칭 첫날에만 190만 명이 동시에 접속했고, 현재 전 세계 12개국의 수많은 플레이어가 원활하게 활동하고 있습니다. 또한, 2023년 하반기에는 국내에서 서비스 중이던 블레이드 & 소울2를 일본, 대만 등 글로벌 진출을 진행하여 3개국의 유저가 만나 파티 던전과 토벌전을 함께 즐길 수 있게 되었습니다.

엔씨소프트는 다양한 AWS(Amazon Web Service) 서비스를 활용하여 안전하면서도 재미있는 플레이어 경험을 보장하는 게임을 구축 및 운영하고 있습니다. 앞으로 더 많은 게임을 AWS에 추가할 계획이므로 계정 수가 늘어나는 AWS 다중 계정 환경에서 보안 위반을 한눈에 감지 및 대응할 방법이 필요했습니다.

AWS에서 통합 보안 대시보드 구현

엔씨소프트는 각각의 계정에서 탐지되는 보안 위반 사항을 통합하여 관리하는 방안을 모색했습니다. 그러던 중 AWS 블로그의 ‘보안 정보 및 이벤트 관리(SIEM)’ 게시글을 보고 가능성을 보았습니다. AWS의 보안 솔루션을 검토하면서 다중 계정을 중앙에서 확인, 다중 계정에 보안 규칙을 적용하여 일관된 보안 감사 수행, 그리고 수집된 데이터의 가시성을 확보하기 위해 대시보드를 구성하여 보안 상태를 실시간으로 모니터링하고 탐지된 이벤트 및 경고에 대해서 알림 체계 구성이 가능한지를 중점적으로 검토했습니다.

엔씨소프트 네트워크보안분석팀 김성우 시큐리티 엔지니어는 “중앙 관리형 SIEM 구축 프로젝트에 레퍼런스를 제공하고 아키텍처와 테스트를 지원해준 AWS 솔루션즈 아키텍트와 어카운트팀이 있어서 매우 도움이 되었습니다.”라고 밝혔습니다

AWS의 어카운트팀과 협업하면서 다양한 AWS 서비스를 활용해 통합 보안 대시보드를 구현했습니다. Amazon GuardDuty로 인스턴스 침해, 계정 침해, 비정상적인 API 활동 등을 탐지하고 탐지된 내역을 통합 관리할 수 있게 했습니다. AWS CloudTrail과 AWS Config를 사용하여 각각의 API 호출 기록과 그로 인해 생성된 리소스의 기록을 저장하고 규정 위반된 리소스를 탐지하도록 설정했습니다. AWS Security Hub와 Amazon OpenSearch Service를 추가해 로그를 통합 수집하고 탐지된 이벤트를 중앙에서 관리 및 모니터링할 수 있도록 구축했습니다. 또한, AWS 다중 계정을 하나의 단위로 묶어서 관리할 수 있도록 AWS Organizations를 사용했습니다.

통합 보안 가시성 확보

엔씨소프트는 다양한 AWS 서비스를 통해 보안 위반 사항들을 통합하여 한눈에 볼 수 있는 가시성을 확보했습니다. 대용량 이벤트도 Amazon OpenSearch Service로 쉽게 연동하고 템플릿 대시보드를 통해 빠른 구성도 가능했습니다. 경보 알람을 구성하여 분석과 대응을 자동화하고 업무 리소스를 확보하는 효과도 얻었습니다. 또한, AWS 보안 서비스가 신규로 추가될 시, 손쉽게 통합하여 관리할 수 있는 장점도 있습니다.

엔씨소프트는 보안 위반 사항으로 탐지된 이벤트를 보안 관제 티켓 시스템과 연동하여 클라우드 보안 관제까지 영역 강화를 진행 중입니다. 향후 Amazon Inspector와 Amazon Detective 서비스도 추가 구성하여 통합 관리 영역을 확장하고, Amazon Security Lake 서비스를 활용하여 보안 데이터 분석을 강화하여 탐지 및 대응 고도화도 검토하고 있습니다.