Roblox의 보안 강화: 보안 조직이 혁신, 신뢰, 확장을 어떻게 실현하는가

Roblox에서 보안은 단순한 보호를 넘어, 그 어떤 기업도 달성하기 어려운 규모의 혁신을 가능하게 하는 것입니다. 이러한 철학은 우리가 소규모 보안 팀에서 출발해 세계에서 가장 역동적인 플랫폼 중 하나를 뒷받침하는 전략적 조직으로 성장하는 데 지침이 되었습니다.

제가 2년 반 전 로블록스에 합류했을 때, 정보 보안 팀은 단 28명으로 구성되어 있었습니다. 우리는 엄청난 잠재력을 가지고 있었지만, 보안이 걸림돌이 아닌 파트너가 될 수 있음을 여전히 증명해 나가야 하는 단계였습니다. 첫 사고 후 검토 회의에 참석했던 기억이 납니다. 논의의 주제는 단 한 번의 기술적 실패가 아니라 '마찰'에 관한 것이었습니다. 엔지니어링 팀이 워크플로를 설명해 주는 것을 들으면서 모든 것이 명확해졌습니다. 그 사고는 부주의로 발생한 것이 아니라 시스템의 허점 때문에 일어난 것이었습니다. 바로 그 프로세스 중 보안 전문성이 결여된 지점이었습니다. 그때 저는 우리의 역할이 단순히 사고를 예방하는 데 그치는 것이 아니라, 보안 요소를 팀들의 워크플로에 내재화하여 그들이 과감하게 개발하고 자신 있게 서비스를 제공할 수 있도록 지원하는 것임을 깨달았습니다.

그 순간은 전환점이 되었습니다. 우리는 사후 대응적인 통제에서 벗어나, 로블록스가 서비스를 구축하고 확장하는 방식에 통합된 선제적이고 전략적인 보안으로 진화해야 한다는 것을 깨달았습니다. 오늘날 우리 정보보안 조직은 단순히 시스템을 보호하는 것을 넘어, 빌더들이 빠르게 움직일 수 있도록 돕는 기반을 마련하는 동시에 전 세계적 규모에서 사용자의 신뢰를 얻고 유지하도록 지원합니다.

신뢰와 추진력 구축: 첫 2년 반

초기에는 꾸준히 현장에 참여하고, 중요한 문제를 해결하며, 개발 라이프사이클에 보안을 내재화함으로써 신뢰를 쌓는 데 주력했습니다. 제가 주도한 가장 영향력 있는 노력 중 하나는 웹 애플리케이션 방화벽(WAF)의 혁신이었습니다. 우리는 이를 단순한 도구에서 모든 대외 서비스에 대한 견고한 보호 계층으로 발전시켰습니다. 자동화, 테스트 환경 검증, 스마트한 규칙 배포를 통해 엔지니어들에게는 눈에 띄지 않으면서도 효과적인 제어 체계를 구축했습니다.

'마찰이 아닌 기본 설정으로 보안'이라는 이러한 사고방식은 우리가 위협 모델링을 성숙시키고, 확장 가능한 검토 프로세스를 구축하며, 제품 기획 단계에서 당당히 자리를 잡는 데 있어 지침이 되었습니다.

이 여정에 동참하며 저는 보안이 단순히 보호에 그치는 것이 아니라, 대규모 환경에서 창의성과 자신감을 가능하게 하는 것임을 깨달았습니다. 혁신과 협력을 통해 실질적인 성과를 창출해 나가며 팀이 28명에서 100명 이상으로 성장하는 모습을 지켜본 것은 제 경력에서 가장 보람찬 경험 중 하나였습니다.

이 모든 것을 이룬 팀을 만나보세요

우리의 비전이 확장됨에 따라 조직 구조도 함께 성장했습니다. 현재 우리는 진화하는 사명을 반영하는 전담 부서들로 구성된 100명 이상의 보안 엔지니어, 분석가, 리더들로 이루어져 있습니다. 이러한 확장을 주도하는 주요 팀들을 소개하게 되어 자랑스럽습니다: 

탐지 및 대응(DART)

Roblox 시스템과 데이터의 기밀성, 무결성, 가용성을 유지하는 역할을 담당합니다. DART는 보안 운영, 사고 대응, 탐지 엔지니어링, 위협 인텔리전스, 자동화, 공격적 보안, 포렌식 팀으로 구성됩니다. 이 팀은 새로운 위협을 선제적으로 식별하고 대응하는 동시에 플랫폼이 안전하게 확장될 수 있도록 지원합니다.

• 최근 성과: AI 기반 자동화 시스템을 구축하여 여러 업무 흐름 간 사고 대응을 조정함으로써 운영상의 장애 요인을 최소화하고, 팀들이 핵심 해결 업무에 집중할 수 있도록 지원했습니다.

플랫폼 보안

네트워크, 클라우드, 프로덕션 IAM 및 하이브리드 인프라를 보호합니다. 이 팀은 기본적으로 보안이 적용된 쿠버네티스 템플릿, 시크릿 관리, 세분화된 접근 제어와 같은 확장 가능한 기능을 제공합니다.

• 성과: 지난 1년 동안 이 팀은 실시간 시크릿 생성 및 취소, 셀프 서비스 세분화된 권한 부여, 안전한 프로덕션 액세스 인터페이스, eBPF 기반 네트워크 세분화를 위한 고성능의 확장 가능한 플랫폼을 제공했습니다. 이러한 기능 덕분에 Roblox는 커뮤니티에 대한 위험을 증가시키지 않으면서도 빠르게 확장할 수 있었습니다.

거버넌스, 리스크 및 컴플라이언스(GRC)

위험 우선(risk-first) 및 데이터 기반 접근 방식을 통해 정책, 벤더 위험 관리, AI 검토, 제어 검증에 대한 기업 보안을 강화합니다. GRC는 모든 빌더가 정보에 입각한 결정을 내릴 수 있도록 지원하며, 동시에 안전한 혁신을 가속화합니다.

• 주요 성과: 자동화를 통해 공급업체 보안 검토 프로세스를 획기적으로 가속화하여 일반적인 처리 시간을 대폭 단축하고 팀의 업무 속도를 높였습니다.

엔터프라이즈 보안

기업 신원 관리, 엔드포인트 보호, SaaS 보안, 그리고 제3자 지원 인력의 보안에 중점을 둡니다.

• 성과: 직원 인증 절차에 기기 상태 점검을 도입하여 전사적으로 높은 수준의 규정 준수를 이끌어 냈습니다.

애플리케이션 보안

엔지니어링과 보안의 교차점에 위치하며, 보안 코드 스캔, 강화된 컨테이너, 공급망 무결성을 포함한 검토, 툴링 및 CI/CD 자동화를 통해 안전한 개발을 지원합니다.

• 혁신: Roblox 특유의 트래픽 패턴을 분석하여 노이즈를 걸러내고, 공격 및 비정상적인 요청을 탐지하며, 앱 및 서비스별 허용 목록 규칙을 자동으로 생성하는 ML 기반 WAF 규칙 생성 워크플로를 출시했습니다.

글로벌 보안

전 세계에 물리적 및 디지털 보안 서비스를 제공합니다. 글로벌 보안 운영 센터(GSOC)는 24시간 연중무휴로 운영되어 위협을 관리하고, 사고를 조정하며, 대규모 행사를 보호합니다.

• 주요 성과: 2024년 로블록스 개발자 컨퍼런스(RDC)의 보안을 성공적으로 수행하여, 여러 행사장에서 수천 명의 참가자의 안전을 관리했습니다.

프라이버시 엔지니어링

확장 가능한 개인정보 보호 규정 준수를 위한 도구와 인프라를 개발합니다. AI를 활용하여 데이터 분류를 자동화하고, 규정 준수 코드를 생성하며, 수작업 부담을 줄여 GDPR, CCPA 및 내부 거버넌스 노력을 지원합니다.

• 최근 성과: 자동화된 개인정보 영향 평가(PIA)를 위한 중앙 집중식 시스템을 도입하여 검토 주기를 단축하고, 빠르게 변화하는 팀 전반에 걸쳐 확장 가능한 개인정보 검토를 지원했습니다.

Roblox 보안의 차별화된 점

로블록스(Roblox)와 같은 규모로 운영되는 기업은 거의 없습니다. 로블록스는 온프레미스와 클라우드 인프라가 결합된 글로벌 플랫폼을 기반으로 매일 수천만 명의 활성 사용자를 보유하고 있으며, 빠른 제품 출시 주기와 활기찬 개발자 생태계를 갖추고 있습니다.

이러한 복잡성에 직면했을 때, 기존의 보안 모델은 실패할 수밖에 없습니다. 그렇기 때문에 저희의 핵심 신념은 다릅니다. 보안은 단순히 보호하는 데 그쳐서는 안 되며, 오히려 가속화해야 한다는 것입니다. 저희는 모든 엔지니어가 시너지 효과를 창출할 수 있도록 지원하는 '역량 강화' 문화를 통해 이를 실현합니다. 일률적인 프로세스 대신, 저희의 운영 모델은 유연하며 파트너십을 기반으로 합니다. 저희는 일상적인 개발을 위한 자동화된 가이드라인과 셀프 서비스 도구를 제공하여 팀이 빠르게 움직일 수 있도록 지원하며, 가장 복잡하고 위험이 높은 기능에 대해서는 깊이 있는 실무 협업을 제공합니다. 이러한 접근 방식은 전사적인 기획 및 아이디어 구상 단계에 적극적으로 참여하여 팀이 초기 단계부터 보안을 내재화할 수 있도록 돕는, 선제적인 방식으로 구현됩니다.

이러한 자동화와 파트너십의 균형은 엔지니어들에게 단순히 우려 사항을 제기하는 것을 넘어 개선을 주도할 수 있는 주도권을 부여하여, 모든 수준에서 자율성을 증진시킵니다.

일일 활성 사용자 10억 명을 목표로 하는 저희의 업무는 실시간 상호작용 보호, 사용자 생성 콘텐츠 보안, 3D 시뮬레이션, AI, 디지털 경제 분야의 혁신 지원에 이르기까지 광범위합니다. 이러한 과제를 해결하기 위해 확장 가능한 보안 검토 시스템과 ML 기반 위협 탐지부터 개인정보 보호 자동화, 개발자 중심의 안전 장치에 이르기까지 끊임없이 새로운 접근 방식을 고안해야 합니다.

우리는 단순히 추세를 따라가는 것이 아니라, 미래를 만들어가고 있습니다. 이것이 바로 Roblox의 보안이 남다른 이유입니다.

함께 만들어 갑시다

우리는 탄탄한 기반을 마련했지만, 가장 흥미로운 도전은 아직 앞으로 남아 있습니다. 책임감 있는 AI의 확장부터 신원 보호 및 개발자 중심 보안 툴의 발전에 이르기까지, 우리는 전 세계적 차원에서 현대 보안의 모습을 정의하는 데 주력하고 있습니다.

실제 문제를 해결하고, 영향력 있는 리더십을 발휘하며, 인터넷의 미래를 함께 만들어가고자 한다면, 여러분을 환영합니다. 

함께 보안의 미래를 만들어 나갑시다.