Cappuccino sapiens

지난 2019년 한해는 클라우드 보안에 있어 정말 험난한 한해였으며, 서비스 측면에서 중대한 변화가 요구되는 시기였습니다. 최근 가트너는 클라우드 보안에 대한 재평가를 통해 ”고객의 실수로 인한 클라우드 보안장애가 99%에 달할 것이다.“ 라고 경고한 바 있습니다. 이는 조금 과장되었기도 하지만, 클라우드가 미래 경제의 핵심이라는 부정할 수 없는 상황에서, 클라우드 보안은 진일보적인 기술로의 진화를 견고히 하기 위한 필수 요소임을 강조한 것이라고 볼 수 있습니다.

데이터는 과거의 그 어느 때보다도 많이 축적되어 가고 있으며, 클라우드는 이러한 데이터의 무한한 증가를 부축이고 있습니다. 이러한 데이터의 증가로 인해 보안 이벤트 또한 기하급수적으로 증가하고, 이는 기존의 보안기술로 해결하기에는 역부족임을 깨닫게 합니다.

가트너는 이러한 현상에 대해 ”퍼블릭 클라우드 사용을 통제하지 못하는 조직 중 90%는 민감한 데이터를 부적절하게 다루고 있다“ 고 이야기 하고 있습니다. 불행히도 이러한 회사들은 자사 브렌드에 치명적인 악영향을 주게 될 것이며, 법적인 책임 또한 무겁게 짊어지게 될 것입니다.

국제적으로 데이터의 중요성과 개인정보 침해에 대한 이해도가 높아짐에 따라, 각 정부는 시민들의 권리를 보장하기 위한 법적인 규제를 더욱 강화하고 있습니다. 따라서, 데이터가 모여있는 클라우드 보안은 필연적인 과제이며, 향후에도 지속적으로 문제를 도출하고 해결방안에 대해 고민이 필요합니다. 우선적으로 지난 보안사고를 되짚어 보고, 어떻게 해결 했는지에 대한 모범사례에 대해 학습할 필요가 있습니다.

지난해 발생한 대표적인 5가지 보안사고는 아래와 같으며, 각 보안사고에 대해 어떻게 대응했는지 살펴 보도록 하겠습니다.

  1. 4월 2일, 페이스북 (Cultura Colectiva)

   - 침해 규모: 540,000 레코드 (146 GB)

  2. 4월 25일, Docker Hub

   - 침해 규모: 190,000 accounts

  3. 5월 20일, Instagram (Chtrbox)

   - 침해 규모: 49 백만 레코드

  4. 7월 29일, Capital One

   - 침해 규모: 8만 은행 계좌, 1백만 이상 정부ID

  5. 9월 13일, Autoclerk

   - 침해 규모: 10만 명의 예약자 정보(약 179 GB)

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

매년 Cloud Security Alliance (CSA)는 클라우드에 대한 핵심 보안위협과 취약점들에 대한 이해를 돕고 보안경각심을 고취하고자 “Top Threats to Cloud Computing”을 발간하고 있습니다. 최근 버전인 ” Top Threats to Cloud Computing: Egregious Eleven”에서는 11개의 주요 클라우드 보안위협과 보안대책에 대해 소개하고 있습니다.

보고서에 따르면, 기존의 클라우드 서비스에서 발생하는 DDoS, 기술 취약점, 데이터 손실 등과 같은 보안문제는 감소한 반면, 사용자의 운영과정에서 발생하는 환경설정 오류, 불충분한 접근통제 등으로 인한 보안사고가 증가하고 있는 것으로 나타났습니다.

디지털 트렌스포메이션을 가속화하기 위해 클라우드는 필수 불가결한 서비스로서, 이제는 클라우드의 보안위협에 대해 충분히 이해하고 준비할 필요가 있습니다. 다음은 ”Egregious 11“에서 소개된 11가지의 클라우드 보안위협 중 상위 6가지의 보안위협에 대해 살펴보겠습니다.

1. 데이터 침해 (Data Breach)

평균 데이터 침해의 평균 비용은 3.92백만달러에 달하며, 클라우드로 데이터가 집중 됨에 따라 개인정보를 포함한 데이터 관리에 있어 가장 큰 클라우드 보안위협으로 대두되고 있습니다.

2. 환경설정 오류 및 불충분한 변경 제어 (Misconfiguration and Inadequate Change Control)

과도한 접근권한 부여 및 디폴트 값 미변경 등을 포함하며, 데이터 수정·유출 등 침해와 서비스 정지 등의 원인이 됩니다. 클라우드의 동적인 특성으로 인해 이러한 환경설정 및 변경제어를 어렵게 하는 경향이 있습니다.

3. 클라우드 보안 구조 및 전략설정 미흡 (Lack of Cloud Security Architecture and Strategy)

사이버 공격을 방어할 수 있는 클라우드 보안구조나 보안전략에 대한 준비 없이 성급한 클라우드로의 이전은 전방위적인 데이터 손실을 유발할 수 있습니다. 또한 클라우드 보안 책임공유모델에 대한 불충분한 이해 또한 침해사고에 대한 준비 부족의 원인이 됩니다.

4. 불충분한 신원, 자격증명, 접근, 키 관리 (Insufficient Identity, Credential, Access and Key Management)

클라우드 환경에서 사람 뿐만 아니라 응용프로그램 및 기기에 대한 인증을 포함하는 특권자격에 대한 증명은 절대적으로 강력한 요소이며 공격의 주요 타깃이 되고 있습니다. 일단 공격자가 특권 인증정보를 얻게 되면, 클라우드의 민감정보를 포함해 모든 데이터에 접근이 가능하며 모든 통제권을 갖게 됨을 의미합니다.

5. 계정 탈취 (Account Hijacking)

공격자는 클라우드의 특권 사용자 계정을 탈취하기 위해, 지속적으로 취약점을 분석하고 피싱 등의 공격을 통해 목적을 달성하려 합니다. 탈취된 계정을 통해 서비스 접근이 가능하며, 데이터 삭제는 물론 서비스 운영에 중대한 장애의 요인이 됩니다.

6. 내부자 위협 (Insider Threats)

악의적인 내부자는 임직원, 퇴사자, 외주인력 등 현재의 시스템에 접근이 가능하며, 자신의 권한을 이용해 조직에 해를 끼치는 사용자를 의미합니다. 내부자는 합법적인 접근권한을 소유하고 있기 때문에 누가 위협원이 될지를 사전에 판단하는 것은 쉬운 일이 아니며, 이를 판단하기 위해 많은 비용이 수반됩니다. Ponemon 연구보고서에 따르면, 내부자 보안위협으로 인한 피해액은 최근 2년 동안 31%나 증가했으며, 약 11.45백만달러에 달한다고 합니다.

그 외 보고서에서 소개된 클라우드 보안위협은 다음과 같습니다.

7. Insecure Interfaces and APIs

8. Weak Control Plane

9. Metastrurcture and Applistructure Failures

10. Limited Cloud Usage Visibility

11. Abuse and Nefarious Use of Cloud Services

※ 원문: The Egregious 11: Examining the Top Cloud Computing Threats

클라우드는 기업의 디지털 트랜스포메이션을 위한 가장 합리적인 방안으로 고려되고 있으며, 다양한 형태의 클라우드 서비스가 활용되고 있습니다. Flexera 2020 State of the Cloud Report에 따르면 이미 93%의 기업이 멀티클라우드를 사용하고 있는 것으로 조사하였으며, 가트너 또한 2020년 멀티클라우드 시장이 $266억 달러를 상회할 것으로 예상하고 있습니다.  

퍼블릭 클라우드를 사용하는 10개의 기업 중 8개는 민감한 데이터를 클라우드에 보관하고 있으며, 이 들 중 52%는 데이터 침해사고를 경험한 것으로 조사되었습니다. 멀티클라우드 환경은 단일 클라우드 환경과는 다른 보안대책이 필요합니다. 특히, 흩어져 있는 데이터를 안전하게 보호하기 위한 적합한 보안전략이 고려되어야 합니다. 멀티클라우드 환경에서 데이터 보호를 위한 보안대책에 대해 알아 보겠습니다.

  1. CSP의 보안정책 이해 및 적합한 보안대책 강구

CSP (Cloud Service Provider)는 자신들의 인프라 보호를 위한 보안정책을 수립하여 운용하고 있으며, 고객과는 보안 상호 책임제 (Shared Responsibility Environment)를 통해 보호영역에 대한 책임성을 구분하고 있습니다. PaaS, IaaS 등 서비스 형태에 따라 책임성이 달라지므로, CSP와의 책임영역을 분명히 인식하여야 합니다. 따라서, 기업은 CSP의 보호영역에 대한 충분한 이해를 바탕으로 CSP와 함께 데이터와 어플리케이션 보호를 위한 적합한 솔루션을 논의합니다.

  2. 보안 컴플라이언스 준수

개인정보, 신용정보, 의료정보 등 데이터의 종류 및 사업영역에 따라, 데이터 보안을 위한 요건을 검토합니다. 특히, 클라우드에서 민감한 정보를 다룰 때에는 어느 나라에서나 신중한 결정이 요구됩니다. 따라서, 모든 멀티클라우드의 민감한 정보에 대해서는 데이터의 성격을 분석하고 그에 합당한 컴플라이언스 요건을 만족시키는지 검토하며, 내부 컨트롤이 가능한 서버에 저장하여 관리 합니다.

  3. 접근권한 관리 및 통제

데이터에 대한 접근계정이 많으면 많을 수록 그 만큼 오용 가능성과 보안 위험성은 증가하게 됩니다. 따라서, 최소한의 접근계정을 발급하고 IAM (Identity and Access Management)를 통해 적절한 권한관리 및 모니터링을 수행합니다.

  4. 가시성 확보

클라우드 속성상 제한 없는 서비스 플랫폼의 확장은 전체 운영환경에 대한 가시성을 확보하기에 어렵게 합니다. 가시성은 전체 네트워크 환경을 파악하고 관찰하여, 즉각적인 문제해결을 위해 반드시 필요합니다. 따라서, 멀티클라우드 환경에 적합한 고도화된 모니터링 솔루션을 도입하고 자동화된 대응기법을 통해, 신속한 침해사고 예방 및 대응을 수행합니다.

  5. 취약점 관리

응용프로그램과 소프트웨어는 해킹기술의 발전 및 운영환경에 따른 잠재적인 취약점을 가지고 있습니다. 따라서, 주기적으로 보안 취약점을 진단하고 제거할 필요가 있습니다. 취약점 스캐너와 더블어 위협 인텔리전스 솔루션을 이용할 경우, 최신의 보안위협 정보를 활용해 효과적인 데이터 보호를 수행할 수 있습니다.

  6. 지난 데이터 보호

대부분의 보안 솔루션은 실시간으로 거래되는 데이터를 보호하기 위한 용도에 사용되고 있습니다. 지난 데이터의 경우, 데이터 레이블 등 관리 소홀로 인해 상대적으로 보안위협에 노출될 가능성이 높습니다. 따라서, 기존 데이터라 할지라도 데이터 파악 및 레이블링을 통해 관리하고, DLP (Data Loss Prevention), 암호화 솔루션 등을 통해 데이터 유출에 대비합니다.

※ 원문: Securing Data in a Multicloud Environment

※ 세미나 사전등록: Containers and Data Security Webinar

IBM의 침해사고 대응 팀인  IRIS (X-Force Incident Response and Intelligence Service)는 2019년 1월 부터 클라우드 운영에 대한 보안위협을 관찰해 왔으며, 그 결과로 ‘Cloud Threat Landscape Report 2020’을 발간했습니다. 보고서 중 클라우드 위협에 관한 주요내용은 다음과 같습니다.

1) 기업의 데이터가 클라우드로 모이게 되면서, 개인정보를 포함한 데이터 관리에 대한 규제와 접근통제의 비중이 더욱 커짐

  - 비인가 접근으로 인해 1시간내 $50,000 (약 6천만원) 이상의 손실 발생

2) 금전적인 이득을 노리는 범죄자 및 국가·정부 지원의 스파이 조직이 클라우드의 주요 위협원으로 나타남

  - 다크웹과 같은 암시장에서 악의적인 용도의 클라우드 서비스와 계정 거래 증가

3) 취약한 응용프로그램, 환경설정 오류, 가상환경 시스템 취약점을 악용한 공격형태가 일반적  

  - 약 45%의 침해사고 이벤트가 응용프로그램을 통한 원격 침투 방식

  - 2019년 환경설정 오류로 인해 10억개 이상의 레코드 삭제

4) 클라우드를 공격하는 주요 목적은 랜섬웨어, 데이터 탈취, 암호화폐 채굴 등으로 나타남

  - 랜섬웨어는 가장 일반적인 침해유형이며, 2019년 대비 약 3배 이상 증가

  - 정보 (환자정보, 신용카드, 이메일 계정 등) 탈취 후, 암시장에서 거래

  - 암호화폐 채굴, 웹사이트 위·변조, DNS 캐시, 클라우드 간 (Cross-cloud) 공격 루트 등의 목적으로 사용

5) 90% 이상이 Linux 시스템인 클라우드 환경에 특화된 전용 멀웨어 증가 및 공격방식의 진화

  - DemonBo: 클라우드 과금증가 및 자원고갈용 봇넷

  - Graboid: 취약한 도커를 장악하고 암호화폐 채굴

  - AESDDoS: 취약한 컨테이너를 공격하고 DDoS 공격 유발

※     보고서: 2020 Cloud Security Landscape Report

기업의 보안에 있어 IAM (Identity and Access Management)은 필수 불가결한 요소입니다. 보안팀에 있어 인증분야는 점점 복잡해져 가는 IT 운영환경에서 모든 자원을 파악하고 통제해야 하는 아주 조심스럽고 민감한 영역이라고 할 수 있습니다. 더욱이, 하이브리드, 멀티 클라우드 환경으로 전환함에 따라, 기존 On-premise 환경보다 더욱 광범위하고 복잡한 인증 및 접근통제 시스템을 구축하고 운영해야 합니다.

IAM은 권한이 있는 사용자 (특권 사용자)에게 안전한 방식으로 자원에 대한 접근할 수 있도록 합니다. 특권 사용자란 사람을 포함한 모든 것(Thing)을 포함하고 있습니다. IAM을 구현하기 위해서는 이 모든 것들에 대해 파악하고, 적절한 접근권한 부여와 자원에 대한 접근 및 안전한 통제를 필요로 합니다.

 - 사람: 임직원, 외주 인력, 소비자, 고객 등

 - Thing: 서버, 서비스 계정, 응용 프로그램 인터페이스 (API), IoT 디바이스 등

하이브리드 및 멀티클라우드 환경에서는 임직원, 고객, 서비스 등 개별적으로 적용하는 접근권한 솔루션으로는 IAM을 완벽하게 구현하기가 어렵습니다. 새로운 환경에 적합한 IAM 솔루션은 기존의 운영환경을 통합하고 연속성과 안전성을 보장하며, 시간이 지남에 따라 새로운 모범사례를 활용 할 수 있는 현대화된 모듈식 플랫폼이어야 합니다. IAM 솔루션 선택시 다음 3가지 사항에 대해 고려할 필요가 있습니다.

  1) 컨텍스트 기반 통찰력을 활용할 수 있어야 합니다.

   - 행동적 바이오 인식, 디바이스 속성, 사용자 행위 패턴 등 다양한 인증정보를 활용한 컨텍스트 기반 접근통제 구현

   - 컨텍스트 기반 신뢰등급 설정 및 AI기반의 접근통제 의사결정 체계로 사용 편의성 및 융통성 제공

   - SIEM과 결합하여 자원 접근현황을 실시간 모니터링하고 IAM을 통한 자동화 대응 구현 

  2) IAM 전문가 없이도 쉽게 구현 및 적용 할 수 있어야 합니다.

  - 오픈 소스 커뮤니티를 통해 어플리케이션에 인증기능 구현

  - Mobile Push, QRCode, FIDO 등 강력한 인증기능을 선택적으로 구현

  - SSO, 고급 인증, ID 거버넌스 등 다양한 모범사례 제공

  3) 클라우드에 적합한 IAM 접근방식을 통해 기업의 인증환경을 현대화 합니다.

  - 워크로드를 빠르게 클라우드로 전환하기 위한 클라우드 기반 IAM접근 방식 지원

  - 접근관리, 인증 거버넌스, 특권 접근관리 등을 포함한 종합적인 인증기능 제공

   ※ 원문: Three Key Pillars of Smart Identity

※ IBM Security Verify: IDaaS를 통해 하이브리드, 멀티클라우드 환경을 위한 현대화된 IAM 플랫폼을 구현함으로써, 기업의 성공적인 클라우드 전이를 지원 합니다. 

 - 침해사고 예방 및 대응 시스템과 결합, 접근통제를 위한 최고의 의사결정 컨텍스트  제공

 - IAM 전문가 없이도 개발자 경험을 통해 클라우드 환경의 어플리케이션 인증기능 구현

 - 접근관리, 인증 거버넌스, 특권 사용자 관리를 포함한 광범위한 인증 워크플로우 통합

강은성 시소랩 대표님의 글 ” 클라우드 서비스(SaaS) 개발사가 알아야 할 보안“을 토대로 정리한 글 입니다.

(원문: http://www.ciokorea.com/news/154769#csidx68981c82faf84dabb55412ea6f55810  )

정부의 적극적인 지원과 스타트업 활성화 등에 따라, 클라우드 서비스 이용이 큰폭으로 증가하고 있습니다. 

  - 클라우드 시장 규모믄 연평균 해외 23.1%, 국내 16.8% 급성장 예상(과기정통부, 2019)

하지만, 클라우드의 인기가 높은 만큼, 보안에 대한 우려도 증가하고 있습니다. 지난 5년간 서비스 중단, 데이터 파일 삭제, 개인정보 유출 등 정보보안 사고는 꾸준히 발생하고 있으며, 최근 보안사고 중 대부분은 고객사의 설정오류에 기인한 문제였습니다.

 - 넷플릭스 서비스 중단(‘15년), 애플 서비스 중단 (‘17년), 혼다 개인정보 유출 (‘18년), A사 고객정보 유출 (‘19년)

클라우드 서비스 개발사 및 이용자는 이러한 보안사고에 대비하고 보안을 강화하기 위해, 클라우스 서비스에 대한 충분한 이해, 관리계정에 대한 적절한 통제, 그리고 클라우드 인력에 대한 기술역량을 제고해야 합니다.

 1) 클라우드 서비스 사업자 (CSP)의 ‘책임 공유제’에 대한 충분한 이해는 물론 책임범위에 대해 명확히 설정할 필요가 있습니다.

 2) 클라우드 환경에서는 보안팀 뿐만 아니라, 구매팀, IT운영팀, 재무팀 등 또한 클라우드 계정을 소유하게 되므로, 계정 및 권한관리에 대한 중요성이 커지게 됩니다. 따라서, 계정 및 권한 관리 (IAM, Identity Access Management) 시스템을 도입하고 적절한 정책관리가 필요합니다.

 - DB, 네트워크, 애플리케이션, 보안솔루션 등 모든 IT자원을 파악하고 계정부여 및 관리

 - 최소의 권한 부여, 책임성 및 추적성 강화, 계정 모니터링 및 접근통제 관리 등 보안접근통제 실시

 3) 서비스 개발사 또는 이용자는 CSP가 제공하는 네이티브 보안솔루션을 활용하여 기본적인 보안을 구현할 수 있으며, 무료서비스와 공개 세미나 등을 통해 클라우드 서비스의 안전한 보안설정 및 운영에 대한 이해도를 높일 수 있습니다.

 - N/W Firewall, WAF, Anti-DDoS, 서버존 분리 등 네트워크 보안

 - 데이터 암호화, 키관리, 하드웨어 보안 모듈을 통한 데이터 보호

 - 로깅 및 이벤트 감시 솔루션을 통한 모니터링

※ IBM IAM: 인증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 디바이스에서 싱글 사인온 제공, 다단계 인증을 사용하여 보안 강화, 사용자 라이프사이클 관리 사용 및 권한 부여된 계정 보호 등의 작업을 수행할 수 있습니다.

클라우드는 효과적인 인프라 구축, 어플리케이션의 현대화, 자가 수정 및 AI 등 신기술 도입 등으로 디지털 혁신을 가속화하기 위해 끊임없이 진화하고 있습니다. 하지만, 여전히 기업은 클라우드 도입시 보안에 대한 우려(47%), 전문성 부족(44%), 비용관리 (40.3%), 컴플라이언스 (34.3%) 등에 대해 우려를 표명하고 있습니다 (출처: 국내 클라우드 도입의 현주소 설문조사, 2019, 베스핀글로벌). 기업이 갖는 클라우드 보안에 대한 우려 사항은 다음과 같습니다. 

 - 보안책임 및 책임 한계에 대한 이해

 - 기존 보안 프레임워크 대비 보안수준의 이해

 - 보안 컴플라이언스에 대한 요구사항 이해

 - 중요·민감 데이터에 대한 안전한 관리 및 보호 방안

 - 클라우드 워크로드에 대한 안전성 및 접근 편리성

 -  ‘Secure by Design’을 고려한 클라우드 어플리케이션 개발

 - 분산된 환경들에 대한 가시성 확보 및 효율적인 정책 관리

 - 제한된 자원으로 효과적인 위협탐지 및 자동대응

“55%의 기업, 데이터와 보안분석 툴간의 통합 미흡“ - SANS 설문조사, 2019.8월 -

”48%의 기업, 너무 많은 보안 솔루션으로 복잡도 증가, 가시성 감소” - Ponemon 설문조사, 2019.4월 -

멀티클라우드 환경 구축을 통해 기업은 더욱 안정적이고 빠르게 디지털 혁신을 가속화 해 나가고 있으며, 이미 많은 기업들이 멀티클라우드 환경도입을 고려하고 있습니다. 이러한 더욱 복잡해져 가는 기업의 IT환경에 걸맞는 클라우드 보안은 기존의 보안업무 환경을 흡수하고, 통합적인 데이터관리와 종합적인 가시성 확보를 통해 보안위협에 대한 인사이트를 제시할 수 있어야 합니다.  

- 열린 파트너 생태계: 기존 보안 인프라 내에서 타사 보안도구와 안전하게 연결

- 통합 데이터 서비스: 데이터는 그대로 둔 상태에서 완전한 통찰력 획득

- 개방형 구조: 하이브리드, 멀티 클라우드 환경에서 설치 및 사용

- 결과 중심 솔루션: 오케스트레이션 및 자동화에 의해 보안 워크플로우 처리

- 통합 인터페이스 및 디자인 시스템: 통합된 가시성 확보, 쉬운 사용으로 교육 리소스 절감, 빠른 앱 구축

※ IBM Cloud Pak for Security: 하이브리드, 멀티클라우드 환경에서 보안도구를 통합하여 통합된 데이터 관리·분석 및 가시성 확보로 보다 정확한 리스크 기반 의사결정을 하며, 클라우드 환경에 적합한 위협분석 기법 및 자동화 대응으로 보안위협에 대한 신속한 조치와 대응을 수행합니다.

COVID 19 여파로 인한 최근의 풍경은, 기업들 뿐만 아니라 학교들이 온라인을 통한 활동(미팅, 강의, 자료공유 등)을 확대하고 있다. 어쩜, 이러한 변화는 우리의 미래 업무환경의 일환이 되지 않을까 싶다. 이러한 변화에 따라, 탄력적인 이용자 수요에 대한 대처를 위해, 클라우드를 통한 안정적인 서비스는 물론 보안에 대한 문제도 상당히 신경을 써야할 부분이다.

"클라우드 올라탄 기업들, 보안은 아직 과도기"

http://www.zdnet.co.kr/view/?no=20200302183154