Veracode, 확장 가능한 AWS 서비스를 사용하여 소프트웨어 보안 플랫폼 강화

Veracode는 보안 침해의 위험을 줄이고 보안 및 개발 팀의 생산성을 높이기 위한 소프트웨어를 개발하는 선도적인 애플리케이션 보안 파트너입니다. 프로세스 자동화, 통합, 속도 및 응답성을 결합한 Veracode는 고객이 코드의 보안 결함을 수정하는 작업에 매달리는 것이 아니라 혁신에 집중할 수 있도록 정확한 결과를 얻을 수 있는 기능을 제공합니다.  수천 곳의 글로벌 고객이 사용하는 Veracode는 수조 개에 달하는 코드 줄을 평가하여 사용자가 수천만 개의 보안 결함을 수정하도록 지원해왔습니다.

 

Veracode는 2006년 설립 당시 서드 파티 공급업체를 통해 자체 데이터 센터를 운영하고 데이터베이스를 호스팅하기로 결정했습니다. 회사가 성장함에 따라 Veracode는 맞춤형 SaaS 아키텍처를 뛰어넘는 솔루션이 필요하다는 사실을 깨달았습니다. Veracode의 제품 관리 담당 선임 이사인 Tim Jarrett은 “지금은 처음 사업을 시작했을 때와는 규모 자체가 다릅니다. 모든 소프트웨어에는 버그가 있을 수 있으며 이러한 버그 중 일부는 실제로 보안 취약성이 될 수 있습니다. 소프트웨어 구축 방식이 바뀌었기 때문에 빠른 성능에 대한 수요와 고객의 기대에 부응하려면 기하급수적으로 확장할 수 있어야 합니다”라고 말합니다.

 

온프레미스 인프라에서는 매월 수천만 건의 스캔 작업을 관리하기가 어려웠습니다. Veracode에는 간단히 확장할 수 있고 신규 고객을 지원하는 것은 물론, 기하급수적으로 증가하는 애플리케이션을 테스트할 수 있는 인프라가 필요했습니다. 2011년부터 AWS 서비스를 이용한 Veracode는 전체 플랫폼을 AWS로 마이그레이션하기로 결정했습니다. Jarrett은 “AWS가 제공하는 탄력성을 이용한다면 필요한 규모의 확장성을 얻을 수 있다는 것을 알고 있었습니다”라고 말합니다. 2018년에 Veracode와 AWS 팀은 나머지 SaaS 인프라를 세 단계로 마이그레이션하는 계획을 수립하고 착수했습니다. 먼저 서드 파티 데이터베이스를 Amazon Relational Database Service(RDS) for Oracle로 마이그레이션했습니다. RDS for Oracle은 클라우드에서 Oracle 배포를 간편하게 설정, 운영 및 확장할 수 있고, 고객이 인프라를 관리하는 데 매달리는 대신 혁신을 실현하고 새로운 애플리케이션을 구축하는 데 시간을 할애할 수 있도록 해주는 완전관리형 상용 데이터베이스입니다.

Veracode의 비전은 개발 팀과 보안 팀을 하나로 묶는 포괄적이고 개방적인 지속적 소프트웨어 보안 플랫폼을 제공하는 것입니다. 플랫폼을 지원할 현대적 아키텍처를 원하는 Veracode는 여러 AWS 서비스를 이용하고 있습니다. 예를 들어 분석, 플랫폼 인사이트 및 벤치마킹을 지원하는 데이터 레이크에는 업계 최고의 확장성, 데이터 가용성, 보안 및 성능을 제공하는 객체 스토리지 서비스인 Amazon Simple Storage Service(S3)와 서버리스 데이터 통합 서비스인 AWS Glue 등의 서비스를 사용하고 있습니다. AWS에서 Veracode는 하룻밤 사이에 10개의 서비스와 50~60개의 워크플로를 마이그레이션하며 마이그레이션의 첫 단계를 빠르게 완료했습니다.

 

두 번째 단계에서 Veracode는 유럽 시장에 진출하기를 희망했습니다. 하지만 전통적으로 유럽 시장에서는 타지역에 기반을 둔 SaaS 솔루션을 경계했습니다. 이에 Veracode는 AWS를 기반으로 유럽 시장용 플랫폼의 전용 인스턴스를 출시했습니다. 미국 연방 정부 고객을 지원하기 위해 Veracode는 클라우드 서비스의 보안 평가, 승인 및 지속적인 모니터링 방식에 대한 표준을 규정하는 연방 정부 위험 및 인증 관리 프로그램(FedRAMP)의 인증을 받기 위한 과정을 진행하고 있습니다. 2022년에 Veracode는 AWS GovCloud(미국)와 같은 AWS 리전을 이용하여 고객 기반을 확장할 예정입니다. 그러면 정부 고객과 그 파트너가 보안 클라우드 솔루션을 유연하게 설계할 수 있게 됩니다.

 

Veracode는 SQL을 사용하여 정형 데이터와 반정형 데이터를 분석하는 Amazon Redshift를 기술(記述)적 보고 솔루션으로 사용하고 있습니다. 즉, 데이터 레이크에서 데이터를 배치 단위로 추출하고 변환한 후 Amazon Redshift를 사용하여 자동으로 보고서를 생성합니다. 그러면 Veracode가 이 정보에 액세스하여 고객에게 중요한 보안 인사이트를 제공할 수 있습니다. 또한 완전관리형 인 메모리 캐싱 서비스인 Amazon ElastiCache를 사용하여 사용자 세션 정보를 저장하고 고객 경험을 최적화합니다.

 

AWS를 기반으로 아키텍처를 설계함으로써 Veracode는 이전 아키텍처에서 제공되는 수준을 훨씬 뛰어넘는 탄력적 확장성, 고성능 및 유연성을 확보했습니다. 복잡한 코드를 다시 작성하지 않고도 수평적으로 확장할 수 있어 서비스 속도와 품질이 향상됩니다. Jarrett은 “대형 금융 기관에서 주말 동안 모든 코드를 살펴보고 어디에 버그가 있는지 찾아내달라고 요청한다면 이전 아키텍처로는 불가능했을 것입니다. AWS 서비스는 저희가 확장을 통해 빠르게 증가하는 수요에 대응하고 자체 데이터 센터의 제약에서 벗어나는 데 중요한 역할을 했습니다”라고 말합니다.

Veracode는 인프라를 더욱 최적화하며 마이그레이션의 세 번째 단계를 계속 진행할 것입니다. 현재는 Amazon RDS for Oracle의 데이터를 클라우드용으로 구축된 MySQL 및 PostgreSQL 호환 관계형 데이터베이스인 Amazon Aurora로 마이그레이션하고 있습니다. 클러스터화된 Aurora의 특성 덕분에 Veracode는 대부분의 코드를 다시 작성하지 않고도 데이터베이스 계층을 스케일 아웃할 수 있습니다. 이 회사는 데이터 일관성을 유지하고 운영 중단을 최소화하면서 이 프로젝트를 완료하기 위한 전략을 세우고 있습니다. Veracode의 부사장 겸 수석 아키텍트인 Rob Parrott은 “저희는 오랫동안 취약성 데이터베이스이자 아키텍처의 핵심 부분으로 Aurora를 사용했습니다. 이제 관계형 데이터베이스 관리 시스템 요구 사항을 충족하기 위해 Aurora에 올인하려고 합니다”라고 말합니다.

 

이 클라우드 마이그레이션을 성공적으로 해내려면 프로덕션 워크로드를 유지하면서 현대적 인프라로 마이그레이션하기 위한 일련의 단계를 신중하게 진행해야 했습니다. 그 결과, Veracode는 미래 성장을 위한 확장성, 탄력성, 속도 향상 등, 중요한 이점을 얻을 수 있었습니다. 앞으로도 AWS를 기반으로 혁신을 이어나가면서 솔루션을 강화하고 새로운 트렌드에 발맞춰 고객이 보안 태세를 더 잘 이해하고 위험을 신속하게 완화할 수 있도록 지원할 계획입니다. Jarrett은 “AWS를 기반으로, 저희는 정상 운영 상태에서는 물론, 수요가 급증할 때도 고객에게 더 나은 품질의 서비스를 제공할 수 있습니다”라고 말합니다.