안녕하세요, 여러분!

EA 제품 보안팀 선임 디렉터, 아드리안 스톤.

최근  EA 보안 웹사이트의 제품 보안 취약점 보고 프로그램을 통해 취약점을 보고할 수 있게 되었습니다. 지금까지의 여정은 매우 보람찼으며, 저희는 특히 플레이어, 게임 그리고 인프라를 안전하게 유지할 수 있도록 도움을 주었던 보안 커뮤니티의 연구원들에게 감사의 말씀을 전하고 싶습니다. 또한 지속적으로 연구원들과 협력을 통해 중심 교리가 되어 계속해서 게임 환경의 보안 접근 방식에 투자하고 발전시켜 나갈 것입니다.

제가 이런 글을 작성하는 이유가 궁금하시다구요? 

저희는 현재 보안 연구 커뮤니티를 통해 많은 것들을 배우고 있으며 보고된 문제들을 하나하나 조사하고 있습니다. 저희가 배운 것 중 하나는 더 큰 보안 커뮤니티 및 보안 엔지니어링 문제에 관심이 있는 게이머들과의 의사소통이 매우 중요하다는 것입니다. 결과적으로, 저희는 새로운 커뮤니티 메커니즘인 EA 보안 블로그를 제작하도록 결정하였습니다. 또한 고객과의 추가적인 의사소통 방법을 개발하고 있으며, 해당 서비스는 추후 블로그를 통해 이용이 가능해질 것입니다.

그리고 죄송하지만 잠깐 다른 소식을 전해드리려 합니다: EA를 아껴주시는 여러분, EA의  채용 정보를 확인해보세요! EA의 보안 팀은 멀웨어 공격과 침입으로부터 기업 보안을 보호하는 EA의 기업 시스템부터 EA의 게임과 온라인 서비스가 생명 주기 내내 안전할 수 있도록 하게 하는 보안 엔지니어링 등 다양한 보안 분야를 담당합니다. 또한 위협은 시간이 지남에 따라 진화하는 것을 잘 알고 있기 때문에 저희는 기업 또는 플레이어에게 영향을 미치는 새로운 위협에 대처하기 위해 기업 및 제품 보안 담당팀을 보유하고 있습니다.

취약점 보고 프로그램의 초기 단계에 있어 항상 제기되었던 두 가지 질문이 있으며, 여러분에게 공유하고 싶습니다.  

1) EA는 보안 영향을 어떻게 결정하나요?

저희는 문제의 심각성을 결정할 때 두 가지 방법을 사용합니다. 첫 번째 방법은 업계의 표준인 CVSS 평가 시스템을 사용하는 것입니다. 두 번째 방법은 심각성을 낮음에서 중요까지 4가지 분류로 나누어 평가하는 방법입니다. 가장 심각한 등급인 중요는 사용자 개입이 적거나 또는 전혀 필요 없이 성공적으로 취약점을 악용할 수 있는 수준입니다. 중요 등급 문제의 경우, 플레이어 또는 기기가 기본 구성을 이용한 공격에 취약할 수 있으며, 별도의 지식 없이도 원격 공격자에 의해 악용될 수 있습니다. 여기서 공격자가 악용하기 위해 극복해야 할 장벽을 고려하여 나머지 3가지 분류(중요, 보통, 낮음)에 걸쳐 작업을 진행합니다. 즉, 간단하게 말하면 공격자가 취약점 악용을 위해 극복해야 할 문제가 많을수록 중요도는 낮아집니다.

2) EA는 보고된 문제의 심각성을 어떻게 분류하나요?

보안 영향 등급에 대한 답변은 간단합니다: 저희는 업계 표준 STRIDE 보안 모델을 사용합니다. 이는 취약점의 영향을 분명하게 나타내는 분류 모델입니다. 잠재적 보안 문제에 대한 보고를 받는 경우, 보안팀의 멤버는 조사 과정의 첫 단계로 심사를 진행합니다. 또한 문제가 추가 조사 기준을 충족하는 경우, EA 내 기술 소유자와 협력하여 문제를 다룰 수 있도록 보안 엔지니어가 배정됩니다. 이후 조사의 일부로 보안 영향 및 심각성을 판단합니다.

저는 게임 환경의 전반적 부분에 있어 혜택을 드리기 위해 커뮤니티와 함께 협력하는 것이 너무나 기쁩니다. 앞으로 더 많은 사항을 놓치지 마세요.

- A

아드리안 스톤