Cappuccino sapiens

장마가 길어지면서 예상치 못한 집중호우로 인해 댐의 한계수용 수준마저 넘겨 버렸습니다. 급기야 8월 5일 부터 팔당댐과 의암댐을 시작으로 8월 9일 현재 청평댐, 춘천댐 등 거의 모든 댐이 댐방류를 하고 있습니다. 댐의 방류에 따라 인근 하류에 있는 마을과 농경지가 잠기고 주민들은 마을을 떠나 대피하고 있는 상황입니다.

정부의 적절한 통제와 조기 경보에 따라 신속하게 주민들이 대피함에 따라  사상자는 없었지만, 급격한 수위의 증가와 침수로 인해 재산적인 피해는 예상됩니다. 하지만, 최근 북한의 예고 없는 황강댐 방류와 같이 외부의 인위적인 요인과 홍수 관리시스템의 오류 또는 외부로 부터의 시스템 해킹 등이 발생할 경우 상당한 인명피해가 발생할 수 있습니다.

정부는 정보통신 시설 중 국가·사회적으로 중요한 시설에 대해 2001년도 부터 국가 주요정보통신 기반시설로 지정하여 관리하고 있으며, 2010년도 스턱스넷의 이란 원자력시설 공격 이후에는 제어시스템의 위험성에 대한 심각성을 인지한 후, 철도, 정수, 교통, 댐, 인공위성 등 OT (Operation Technology)시설에 대해서도 주요 정보통신 기반시설로 지정하여 관리하고 있습니다.

OT시설이 기존 수동제어 방식에서 전자제어 시스템으로 전환하고, 다시 최근에는 일반 IT기업 수준의 통신망과 IT시스템을 갖추게 됨에 따라, IT기업이 겪게 되는 동등 수준의 보안위협에 노출되어 있습니다. 특히나, 보안전문가가 부족하고 보안에 대한 대응체계 구축 및 운영경험이 상대적으로 적은 OT시설의 경우, 앞으로도 당분간은 사이버공격의 주요 타깃이 될 것으로 예상됩니다.

Ponemon 연구소에서 미국의 370개 오일 및 가스 보안전문가들을 대상으로 실시한 설문조사에 따르면, OT시설에 대한 보안전문가들의 근심이 어떤 것인지를 알 수 있습니다.

  - OT(Operation Technology)영역은 일반 IT영역보다 보안위협에 있어 더욱 심각

  - 공급망에 미치는 사이버 위험은 설명하기 어려울 정도

  - 많은 오일 및 가스회사들이 사이버공격과 보안사고에 대한 준비 부족

  - 가장 심각한 보안위협은 보안인식 부족과 내부자 위협

  - 사이버보안 대책은 변화하는 디지털화의 속도를 쫓아가지 못함
   (응답자의 35%만이 사이버보안에 대한 준비를 잘하고 있다고 응답)

2020년 상반기에 OT시설에서 발생한 주요 사이버공격과 멀웨어는 다음과 같습니다.

  - 1월, Ryuk 랜섬웨어 공격으로 30백만달러 손실, ICS 시스템 24~72시간 정지

  - 2월, ICS 프로세스 중단하는 EKANS 랜섬웨어 등장

  - 4월, 오일 및 가스 시설을 공격하는 Agent Tesla 스파이웨어 활동

오일 및 가스 시설을 포함한 OT시설에 대한 사이버 보안위협이 증가함에 따라, 보안을 강화하기 위한 투자가 무엇보다도 필요한 시기입니다. OT보안을 위해 필요한 요소는 다음과 같습니다.

  - 보안위험 분석 및 대책수립: OT보안전략 수립, 위험 및 취약점 평가, 보안대책 수립 및 이행

  - 가시성 확보: 모든 OT/ICS 장치 식별, N/W 및 보안구성 검토, 데이터 분석·분류, 데이터 접근 경로 확인

  - 데이터 보호 및 접근통제 강화: 데이터 및 단말 보호, OT 계정관리 및 접근 통제

  - 침해사고 분석 및 대응: OT SoC 구축 및 모니터링, 보안사고 대응 절차 자동화

< 참조 자료 >

 -  ICS 시스템의 프로세스 노리는 랜섬웨어, 에칸스 등장

 - April 2020’s Most Wanted Malware: Agent Tesla Remote Access Trojan Spreading Widely In COVID-19 Related Spam Campaigns

 - OT ICS/SCADA 보안위협에 따른 대응전략

최근 발간된 IBM Security의 “2020 Cyber Resilient Organization Report (이하, 보고서)”에 따르면, 기업의 67%는 지난 12개월 동안 사이버 공격이 심각한 수준으로 증가하고 있다고 응답했습니다. 또한, 지난 2년동안 1천개 이상의 레코드 유출사고를 경험한 기업이 53%에 달할 정도로 파급력 역시 높아졌습니다.

양적 및 질적인 침해사고의 증가에 따라, 새로운 IT기술과 서비스 도입을 통해 디지털 트랜스포메이션을 준비하는 기업은 기존의 단순 침해사고 방어 체계에서 사이버 레질리언스로의 전환을 고려하고 있습니다. 즉, 보안위협에 대한 예방과 대응, 방지, 복구능력을 향상시키고, 조직문화에 완전히 보안을 융화하는 방향으로 진화를 시도하고 있습니다.

사이버 레질리언스를 구현하기는 쉽지 않으나, 조직에 적합하고 올바른 프레임워크를 선택하여 적용한다면, 그에 대한 충분한 가치는 누리실 수 있을 것입니다.

사이버 레질리언스 란?

사이버 레질리언스는 사이버공격 또는 IT 시스템에 악영향을 주는 어떠한 이벤트가 발생했을 경우, IT 시스템을 지속적으로 운영할 수 있는 대응능력을  말합니다. 이는 기존의 침해사고 예방, 탐지, 대응기능을 포괄하며, 모든 사이버 이벤트에 대한 대응능력을 갖추는 것을 의미합니다. 따라서, 사이버 레질리언스는 기존의 침해사고 대응능력을 점진적으로 향상시키면서, 조직문화, 기술역량, 보안정책 및 절차를 현대화함으로써, 지속적으로 변화하는 사이버 침해사고에 대한 대응능력을 극대화 하는 것 입니다.

사이버 레질리언스 구축

디지털 트랜스포메이션을 선도하는 기업들은 진화하는 사이버 공격을 방어하기 위해 침해사고 대응 자동화, 클라우드 서비스 도입, 솔루션들간의 상호작용을 개선하고 있습니다. 또한, 사이버 공격 발생시 효과적인 협업과 업무 연속성을 강화하기 위해, 사이버 공격별 특성을 반영한 위협 모델링을 설계하고 전사가 참여하는 침해사고 대응 계획을 수립합니다.

다음은 사이버 레질리언스 구축시 기업이 고려할 중요한 4가지 영역인 예방 (Prevention), 탐지 (Detection), 방지 (Containment), 그리고 대응 (Response)에 대해 알아 보겠습니다.

1. 예방 (Prevention)

응답기업 중 56%가 사이버공격에 대한 예방 건수를 사이버 레질리언스에 대한 척도로 측정하고 있다고 할 정도로, 대다수의 기업들이 침해사고 예방영역에 가장 많은 비중으로 투자를 해오고 있습니다. 리더그룹에 속한 기업들의 경우 자동화, 인공지능 및 머신러닝을 도입함으로써, 조직의 침해사고 대응능력을 향상시키고 있으며, 보안위협 및 취약점 진단, 설정관리 등을 위한 자동화 솔루션을 도입하여 가시성을 향상시키고 직원을 단순업무로 부터 고급업무로 전환하고 있습니다.

2. 탐지 (Detection): 침해징조를 빠르게 식별

침해징조를 적시에 빠르게 탐지함으로써 침해사고로 이어질 수 있는 공격을 차단하고, 이로 인한 비용을 최소화 합니다. 하지만, 탐지 시스템 및 절차의 복잡성은 때론 악의적인 행위를 정확하게 식별하는데 장애가 되기도 합니다.

보고서에 따르면, 기업의 30% 정도는 50가지 이상의 보안 솔루션과 기술을 사용한다고 응답했습니다. 50개 이상의 보안 솔루션을 사용하는 기업은 그렇지 않은 기업보다 8% 낮은 공격탐지 능력을 보여주고 있습니다. 보안 솔루션들간의 상호 호환성 및 사용환경의 복잡성은 탐지 효율성과 속도를 저해하는 결과를 보여주고 있습니다.

자동화된 솔루션을 통해 다양한 보안 솔루션들과 플랫폼을 통합하고, 응용프로그램과 데이터에 대한 가시성 향상을 위해 노력합니다. 이는 전반적인 운영의 복잡성을 감소시키고, 보안팀이 보다 효과적이며 올바른 결정을 하도록 지원 합니다.

3. 방지 (Containment): 신속한 치료를 위한 절차와 워크플로우

최고의 성과를 내는 기업들은 상대적으로 침해사고에 더 잘 대응하고 35% 더 많은 사건을 처리하는 것으로 나타났습니다. 이들간의 가장 큰 차이점은 사이버보안 침해사고 대응계획의 수립 및 검토, 적용, 이행점검 여부였습니다. 대략적으로 성과가 좋은 기업은 43%, 그렇지 않은 기업은 20% 정도만이 이에 해당되었습니다.

따라서, 사이버보안 침해사고 대응계획 수립은 물론, 침해사고 방지 및 대응절차를 포함하는 플레이북을 개발하여, 사이버 공격 방지를 위한 시간을 줄이고 영향력을 최소화 합니다.

4. 대응 (Response)

분석능력의 향상은 침해사고 예방과 대응에 더 많은 시간을 할애할 수 있도록 합니다. 즉, 자동화된 솔루션의 도입은 보안팀의 침해사고 예방 및 탐지능력 뿐만 아니라, 대응능력 역시 향상시키는 효과가 있습니다.

전반적으로 사이버 복원력이 뛰어난 조직은 IT보안 운영의 모든 측면에서 경쟁업체보다 우수한 성과를 내고 있습니다. 사이버 레질리언스는 강력하고 상호협력적인 조직문화를 구축하고, IT기술과 보안운영 성능 향상을 위한 현명한 투자를 통해 달성할 수 있습니다.

※     원문: Build a Roadmap for Cyber Resilience

IBM Security는 조사 전문기관인 포네몬과 함께 연간 보고서인 ”2020 글로벌 기업 데이터 침해사고 보고서“를 발간하였습니다.  15번째로 발간된 이번 보고서는 2019년 8월 부터 2020년 4월까지 전세계에서 발생한 데이터 침해사고 524건을 분석하였습니다.

다음은 주요 침해사고 수치에 대해 올해 대비 전년도, 전세계 대비 국내와 비교한 수치를 보여 줍니다.

  ※ 국내 총 24개 기업 참여, 최근 3년간의 데이터 침해사고 자료 분석

    - 피해액 상위 분야: 금융, 서비스, 기술분야 순

    - 주요 공격 요인(피해액, 억원): 악의적 공격 50% (41.1), 시스템 오류 39%(36.1), 관리실수 21%(33.3)

올해는 COVID-19 펜데믹으로 인해 전세계적으로 많은 기업들이 어려움을 겪고 있으며, 재택근무 등 업무환경의 변화는 보안업무에도 많은 변화를 가져왔습니다. 재택근무를 선택한 기업 중 76%는 근무환경의 변화로 인해 침해사고를 인지하고 복구하는 시간이 길어질 것이라고 답했습니다.

침투 테스트 및 취약점 진단을 수행한 기업은 글로벌 평균 침해사고 비용보다 적은 비용을 지출했으며, 이는 평소의 침해사고 훈련이 효과적임을 나타내고 있습니다. 또한, 원격근무를 채택한 기업과 보안기술이 상대적으로 낮은 기업의 경우, 침해사고 비용이 평균보다 더 많이 지출한 것으로 나타났습니다.

주요 시사점은 다음과 같습니다.

1. 침해사고 훈련 및 대응 자동화는 침해사고 비용 감소에 효과적

  - 보안 자동화(인공지능, 머신러닝, SOAR 등)를 구현한 기업은 그렇지 않은 기업보다 3.58백만달러 적은 침해사고 비용 지출 (2.45백만달러 vs. 6.03백만달러)

  - 잘 준비된 침해사고대응팀을 갖춘 기업은 그렇지 않은 기업보다 2백만달러 적은 침해사고 비용 지출 (3.29백만달러 vs. 5.29 백만달러)

2. 개인정보의 증가는 기업의 피해액 증가

  - 데이터별 레코드당 평균 피해액: 고객 개인정보 150달러, 지적재산 147달러, 익명 고객정보 143달러, 직원 개인정보 141달러

  - 전체 데이터 침해사고의 80%가 고객 데이터 침해사고로 분류

3. 가장 큰 공격요인은 인증정보 탈취 및 클라우드 환경설정 오류

  - 침해사고중 가장 많은 비중을 차지하고 있는 악의적 공격 (Malicious attack)은 2019년 51%에서 2020년 52%로 다소 높아짐

  - 공격 비중 및 손실비용은 탈취된 인증정보 19% (4.77백만달러), 클라우드 환경설정 오류 19% (4.41백만달러), 타사 소프트웨어 취약점 16% (4.53 백만달러) 순

4. 악의적 공격 중 데이터 파괴 및 랜섬웨어 공격으로 인한 피해비용은 높게 나타남

  - 악의적 공격에 의한 평균 피해비용이 4.27 백만달러로, 데이터 파괴 4.52 백만달러, 랜섬웨어 4.44백만달러 보다 다소 높게 나타남

5. 국가지원 조직에 의한 침해사고는 많지 않으나, 피해금액은 제일 높게 나타남

  - 가장 흔한 공격동기는 금전적이 이유(53%) 였으며, 국가지원 및 정치적인 이유는 각각 13%로 낮음

  - 국가지원 조직에 의한 침해사고 비용은 4.43백만달러로, 정치적 목적4.28 백만달러, 금전적인 목적 4.23백만달러 보다는 높게 나타남

※ 원문: What’s New in the 2020 Cost of a Data Breach Report

※ 보고서 요약(국내): South_Korea_Cost of a Data Breach Report 2020.pdf

2019년 7월, 미국의 대형은행인 캐피탈 원(Capital One)은 해킹으로 1억 6백만명의 고객정보가 유출되었다고 자사홈페이지를 통해 공개하였으며, 이로 인해 약 1,773억원의 피해가 발생한 것으로 추정하고 있습니다. 유출된 고객정보에는 이름, 주소, 전화번호 등 신상정보와 신용점수 및 한도 등 금융정보까지 방대한 정보를 포함하고 있으며, 특히, 8만개 계정, 14만개 사회보장번호, 그리고 1백만개 캐나다 사회보험 번호가 노출되었습니다.

해커는 아마존의 시스템 엔지니어로 근무(2015년~2016년)했던 Paige A. Thomson이었습니다. Paige는 AWS에 설치된 오픈소스 WAF (Web Application Firewall)가 SSRF (Service-Side Request Forgery) 공격을 탐지하지 않도록 설정(default)되어 있다는 점을 이용해, S3데이터베이스에 접근할 수 있는 인증정보를 획득하였습니다.

캐피털 원은 많은 다른 선진 기업들이 클라우드로 이전한 전략을 받아 들여 디지털 혁신을 주도하고자 했으나, 결과적으로는 클라우드에 대한 충분한 이해 부족으로 더 많은 혼란을 겪게 되었습니다.  

비정상 접근시도 모니터링 및 차단

외부에서 접근이 가능한 웹서버를 통해 방화벽(Firewall)을 우회하여, 내부 시스템으로 접근할 수는 SSRF공격은 퍼블릭 클라우드의 가장 위험한 공격 중 하나 입니다. SSRF와 같은 공격을 방어하기 위해서는 화이트리스트 기반의 접근통제로 신뢰하는 연결만 허용하며, 비정상적인 접근이나 새로운 내부로의 접근시도에 대한 탐지와 차단을 수행 합니다.

감사로그 분석을 통한 비정상적인 행위 탐지

클라우드 서비스 제공자(CSP)는 네트워크와 사용자 계층에서 데이터의 가시성을 제공하는 감사로그 툴을 제공하기도 하지만, 데이터가 광범위하고 다루기가 쉽지 않습니다. 감사로그를 분석하고 비정상 행위를 탐지할 수 있는 전용 솔루션을 도입하여, 데이터 침해사고에 대한 예방과 대응을 수행합니다.  

클라우드 서비스 제공자(CSP)의 네이티브 환경 이해와 공동 대응

사용자는 CSP가 제공하는 Anti-DDoS, F/W, WAF 등과 같은 네이티브 앱과 운영환경에 대한 충분한 이해를 기반으로 사용여부를 결정하고, 서비스 설계시 반영 합니다. 또한, CSP와 협조하여 공동의 선제적인 침해사고 방어 대책을 세우도록 합니다.   

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

2019년 5월 20일, 테크크런치는 인도 뭄바이에 위치한 소셜 마케팅업체 치트르박스(Chtrbox)가 운영하는 데이터베이스에 패스워드 없이 접근이 가능하며, 이로 인해 인스타그램 인플루언서를 포함한 4,900만개의 계정정보가 노출됐다고 보도했습니다. 계정정보에는 이용자 전화번호와 이메일 주소를 포함해 프로파일 이미지, 팔로워 수, 공유 게시물 수 등 활동 지표가 포함되어 있었으며, 데이터는 유명인들을 포함한 최신의 데이터라고 전했습니다.

이러한 소식이 전해지자 치트르박스는 즉각적으로 데이터베이스와 연결된 인터넷을 차단했습니다. 이후, 인스타그램은 자체 조사를 통해 치트르박스가 가진 정보에는 개인정보가 포함되어 있지 않으며, 이미 공개된 정보라는 주장한바 있습니다.

인스타그램은 2년전에도 개발자 API의 버그문제로 인해 유명인들의 계정을 포함해 6백만개의 계정이 유출된 이력이 있습니다. 해당 계정에는 핸드폰 번호, 이메일 주소 등이 포함되어 있었으며, 정보를 탈취한 공격자들은 해당 정보 검색용 유료사이트(1건당 10달러)를 개설하기도 했습니다.

클라우드 환경에서 패스워드의 부적절한 설정이나 보안에 대한 충분한 이해 부족으로 인해 발생하는 이러한 침해사고는 지속적으로 발생하고 있습니다. 치트르박스와 같은 단순 실수로 인한 사고는 외부로 부터의 인지 이후에나 깨닫게 되는 경우가 많습니다. 아직까지 클라우드를 운영하는 많은 기업들은 효과적인 보안설정, 컴플라이언스 모니터링, 데이터 유출 탐지, 보안 인식제고 등에 있어 충분한 준비가 되어 있지 않습니다 . 

충분한 통찰력 내재화 및 조직의 보안역량 강화

빠르게 변하는 기업의 서비스와 기술요건 충족을 위해, 컴퓨팅 인스턴스와 스토리지 또한 시의적절하게 변경이 필요합니다. 하지만, 성급한 인프라의 변화로 인해 강한 패스워드 적용, 다중인증 구현, 주기적인 키 변경, 최소권한 할당 등 중요한 보안요소들에 소홀 할 수 있습니다.  따라서, 클라우드 계정, 워크로드, 컨테이너 인프라에 대한 충분한 이해를 기반으론 환경설정 오류, 미흡한 보안정책 적용, 데이터 침해사고로 이어질 수 있는 간과하기 쉬운 요소들에 대해 점검하고 정정할 수 있는 능력을 키워야 합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

Docker Hub(https://hub.docker.com/)는 사용자들이 공식적으로 도커 이미지를 공유하는 저장소로, 기존 도커를 내려 받은 후 재가공하여 재공유가 가능한 플랫폼입니다.

2019년 4월 비금융권 사용자 계정을 저장하는 일부 저장소에 허가되지 않은 사용자가 접속하여19만명의 계정을 유출하였습니다. Docker Hub 계정유출 사고는 전체 도커 계정의 5%에 달하지만, 유출된 계정에 토큰과 접속키(Access Key)가 포함되어 있어, 인증우회, 생산 공정상 악성코드 삽입, 상품코드 복제 등의 추가 피해 우려되었습니다.

Docker측은 빠르게 사용자들의 토큰을 폐지하고 패스워드를 리셋 시켰습니다. 이러한 과정에서 사용자들은 접속키를 재생성하고 로그파일을 통해 잠재적인 악성행위를 판별해야하는 큰 불편을 겪어야만 했습니다. Docker는 명확한 침해경위에 대한 설명이 없었으며, 이 공격은 인증정보인 크리덴셜 공격이나 관련 서버의 침투에 의한 것으로 유추하고 있습니다.

이러한 컨테이너 침해에 대비하기 위한 방안은 다음과 같습니다.

컨테이너 가시성 강화

컨테이너는 운영체제 레벨에서 프로그램을 가상화하는 기술로, Linux의 프로세스 분리기능을 통해 동일한 커널에서 여러 컨테이너를 실행하여 오버 헤드를 줄입니다. 따라서, 컨테이너들간의 소통채널인 inter-process 통신채널 뿐만 아니라 컨테이너내에 발생하는 이벤트에 대한 모니터링을 실시합니다. 호스트기반 IDS를 통해 비정상적인 행위나 워크로드의 변경 이벤트를 탐지합니다.

백업, 데이터 암호화, 이미지 스캐닝

신뢰할 수 있는 저장소에 추가적인 백업공간을 확보하고 주기적인 백업을 진행합니다. 데이터의 암호화 및 해쉬를 통해 변경을 감시하고 데이터 유출시에 대비합니다. 이미지 스캐닝 도구를 사용하여 컨테이너에 삽입된 악성코드의 삽입을 탐지합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

페이스북의 가장 큰 장점 중에 하나는 외부에서 제공되는 매력적인 다양한 앱들을 제공한다는 것입니다. 하지만, 페이스북 사용자 입장에서는 새로운 데이터 침해 경로가 추가되는 셈입니다. 외주 제작의 앱들의 경우, 페이스 북과 동일한 수준의 보안관리 또는 데이터 관리를 하지 않는 경우가 있습니다. 보안 전문업체인 UpGuard에 따르면, 멕시코의 디지털 미디어 회사인 Cultura Colectiva는 AWS 서버 보안관리 실수로 인해 5억 4천만명 이상의 페이스북 사용자 정보를 유출시켰습니다. 이들 레코드에는 상세한 프로필 정보를 포함해, 사용자 ID, 계정 이름 등도 포함되어 있었습니다.

유사한 기간에 “At the Pool” 이란 앱을 통해 약 22천개의 패스워드가 AWS S3에서 유출됐으며, 유출 당시 S3는 보안이 적용되지 않았으며, 패스워드 역시 암호화 되지 않은 상태였습니다. 사용자는 한번 세팅한 패스워드는 여러 사이트에서 재사용하기 때문에, 패스워드는 다크웹에서 흔히 거래되는 아이템으로 크리덴셜 스터핑에 사용되기도 합니다. 다행인 것은 “At the Pool”은 최근 5년동안 운영이 되지 않았기 때문에, 패스워드의 유효성은 낮았을 것으로 판단됩니다. 이렇듯, 보안이 허술한 기업과의 연동은 또 다른 보안 홀을 만들 수 있습니다.

위와 같은 침해사고에 대한 대책으로는 다음과 같습니다.

보안설정 값 진단 및 관리

네트워크 및 보안장비, WEB/WAS/DB 서버, PC, 어플리케이션 등의 중요한 보안 설정이 올바로 설정되어 있는지를 진단하는 것처럼, IaaS 설정 또한 보안 요구조건을 만족하고 있는지를 주기적으로 점검하고 수정합니다.  

환경설정 오류 예방 및 불충분한 변경제어 관리

접근권한 관리, 디폴트 값 변경 등의 설정을 진행하는 과정에서 발생할 수 있는 오류 및 설정 값들 사이의 불일치성에 대해 확인하고 수정하며, 주기적인 관리감독이 필요합니다. 컴플라이언스 진단도구와 같은 비용효과적인 편리한 관리도구를 활용하여 네트워크 인프라, 하드웨어, ID 관리에 대한 설정 값들을 주기적으로 확인하고 보안 모범사례를 적용합니다.

데이터 흐름 통제 및 암호화

데이터 경로 분석 및 통제, 비즈니스 파트너 심사, 데이터 보존 기한 심사 등 강력한 데이터 보안통제를 통해 보안사고 발생시 내·외부의 영향력을 최소화 시킵니다. 또한, 데이터 암호화를 통해 침해사고로 인한 데이터 유출을 차단합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

매년 Cloud Security Alliance (CSA)는 클라우드에 대한 핵심 보안위협과 취약점들에 대한 이해를 돕고 보안경각심을 고취하고자 “Top Threats to Cloud Computing”을 발간하고 있습니다. 최근 버전인 ” Top Threats to Cloud Computing: Egregious Eleven”에서는 11개의 주요 클라우드 보안위협과 보안대책에 대해 소개하고 있습니다.

보고서에 따르면, 기존의 클라우드 서비스에서 발생하는 DDoS, 기술 취약점, 데이터 손실 등과 같은 보안문제는 감소한 반면, 사용자의 운영과정에서 발생하는 환경설정 오류, 불충분한 접근통제 등으로 인한 보안사고가 증가하고 있는 것으로 나타났습니다.

디지털 트렌스포메이션을 가속화하기 위해 클라우드는 필수 불가결한 서비스로서, 이제는 클라우드의 보안위협에 대해 충분히 이해하고 준비할 필요가 있습니다. 다음은 ”Egregious 11“에서 소개된 11가지의 클라우드 보안위협 중 상위 6가지의 보안위협에 대해 살펴보겠습니다.

1. 데이터 침해 (Data Breach)

평균 데이터 침해의 평균 비용은 3.92백만달러에 달하며, 클라우드로 데이터가 집중 됨에 따라 개인정보를 포함한 데이터 관리에 있어 가장 큰 클라우드 보안위협으로 대두되고 있습니다.

2. 환경설정 오류 및 불충분한 변경 제어 (Misconfiguration and Inadequate Change Control)

과도한 접근권한 부여 및 디폴트 값 미변경 등을 포함하며, 데이터 수정·유출 등 침해와 서비스 정지 등의 원인이 됩니다. 클라우드의 동적인 특성으로 인해 이러한 환경설정 및 변경제어를 어렵게 하는 경향이 있습니다.

3. 클라우드 보안 구조 및 전략설정 미흡 (Lack of Cloud Security Architecture and Strategy)

사이버 공격을 방어할 수 있는 클라우드 보안구조나 보안전략에 대한 준비 없이 성급한 클라우드로의 이전은 전방위적인 데이터 손실을 유발할 수 있습니다. 또한 클라우드 보안 책임공유모델에 대한 불충분한 이해 또한 침해사고에 대한 준비 부족의 원인이 됩니다.

4. 불충분한 신원, 자격증명, 접근, 키 관리 (Insufficient Identity, Credential, Access and Key Management)

클라우드 환경에서 사람 뿐만 아니라 응용프로그램 및 기기에 대한 인증을 포함하는 특권자격에 대한 증명은 절대적으로 강력한 요소이며 공격의 주요 타깃이 되고 있습니다. 일단 공격자가 특권 인증정보를 얻게 되면, 클라우드의 민감정보를 포함해 모든 데이터에 접근이 가능하며 모든 통제권을 갖게 됨을 의미합니다.

5. 계정 탈취 (Account Hijacking)

공격자는 클라우드의 특권 사용자 계정을 탈취하기 위해, 지속적으로 취약점을 분석하고 피싱 등의 공격을 통해 목적을 달성하려 합니다. 탈취된 계정을 통해 서비스 접근이 가능하며, 데이터 삭제는 물론 서비스 운영에 중대한 장애의 요인이 됩니다.

6. 내부자 위협 (Insider Threats)

악의적인 내부자는 임직원, 퇴사자, 외주인력 등 현재의 시스템에 접근이 가능하며, 자신의 권한을 이용해 조직에 해를 끼치는 사용자를 의미합니다. 내부자는 합법적인 접근권한을 소유하고 있기 때문에 누가 위협원이 될지를 사전에 판단하는 것은 쉬운 일이 아니며, 이를 판단하기 위해 많은 비용이 수반됩니다. Ponemon 연구보고서에 따르면, 내부자 보안위협으로 인한 피해액은 최근 2년 동안 31%나 증가했으며, 약 11.45백만달러에 달한다고 합니다.

그 외 보고서에서 소개된 클라우드 보안위협은 다음과 같습니다.

7. Insecure Interfaces and APIs

8. Weak Control Plane

9. Metastrurcture and Applistructure Failures

10. Limited Cloud Usage Visibility

11. Abuse and Nefarious Use of Cloud Services

※ 원문: The Egregious 11: Examining the Top Cloud Computing Threats