Cappuccino sapiens

페이스북의 가장 큰 장점 중에 하나는 외부에서 제공되는 매력적인 다양한 앱들을 제공한다는 것입니다. 하지만, 페이스북 사용자 입장에서는 새로운 데이터 침해 경로가 추가되는 셈입니다. 외주 제작의 앱들의 경우, 페이스 북과 동일한 수준의 보안관리 또는 데이터 관리를 하지 않는 경우가 있습니다. 보안 전문업체인 UpGuard에 따르면, 멕시코의 디지털 미디어 회사인 Cultura Colectiva는 AWS 서버 보안관리 실수로 인해 5억 4천만명 이상의 페이스북 사용자 정보를 유출시켰습니다. 이들 레코드에는 상세한 프로필 정보를 포함해, 사용자 ID, 계정 이름 등도 포함되어 있었습니다.

유사한 기간에 “At the Pool” 이란 앱을 통해 약 22천개의 패스워드가 AWS S3에서 유출됐으며, 유출 당시 S3는 보안이 적용되지 않았으며, 패스워드 역시 암호화 되지 않은 상태였습니다. 사용자는 한번 세팅한 패스워드는 여러 사이트에서 재사용하기 때문에, 패스워드는 다크웹에서 흔히 거래되는 아이템으로 크리덴셜 스터핑에 사용되기도 합니다. 다행인 것은 “At the Pool”은 최근 5년동안 운영이 되지 않았기 때문에, 패스워드의 유효성은 낮았을 것으로 판단됩니다. 이렇듯, 보안이 허술한 기업과의 연동은 또 다른 보안 홀을 만들 수 있습니다.

위와 같은 침해사고에 대한 대책으로는 다음과 같습니다.

보안설정 값 진단 및 관리

네트워크 및 보안장비, WEB/WAS/DB 서버, PC, 어플리케이션 등의 중요한 보안 설정이 올바로 설정되어 있는지를 진단하는 것처럼, IaaS 설정 또한 보안 요구조건을 만족하고 있는지를 주기적으로 점검하고 수정합니다.  

환경설정 오류 예방 및 불충분한 변경제어 관리

접근권한 관리, 디폴트 값 변경 등의 설정을 진행하는 과정에서 발생할 수 있는 오류 및 설정 값들 사이의 불일치성에 대해 확인하고 수정하며, 주기적인 관리감독이 필요합니다. 컴플라이언스 진단도구와 같은 비용효과적인 편리한 관리도구를 활용하여 네트워크 인프라, 하드웨어, ID 관리에 대한 설정 값들을 주기적으로 확인하고 보안 모범사례를 적용합니다.

데이터 흐름 통제 및 암호화

데이터 경로 분석 및 통제, 비즈니스 파트너 심사, 데이터 보존 기한 심사 등 강력한 데이터 보안통제를 통해 보안사고 발생시 내·외부의 영향력을 최소화 시킵니다. 또한, 데이터 암호화를 통해 침해사고로 인한 데이터 유출을 차단합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

클라우드는 기업의 디지털 트랜스포메이션을 위한 가장 합리적인 방안으로 고려되고 있으며, 다양한 형태의 클라우드 서비스가 활용되고 있습니다. Flexera 2020 State of the Cloud Report에 따르면 이미 93%의 기업이 멀티클라우드를 사용하고 있는 것으로 조사하였으며, 가트너 또한 2020년 멀티클라우드 시장이 $266억 달러를 상회할 것으로 예상하고 있습니다.  

퍼블릭 클라우드를 사용하는 10개의 기업 중 8개는 민감한 데이터를 클라우드에 보관하고 있으며, 이 들 중 52%는 데이터 침해사고를 경험한 것으로 조사되었습니다. 멀티클라우드 환경은 단일 클라우드 환경과는 다른 보안대책이 필요합니다. 특히, 흩어져 있는 데이터를 안전하게 보호하기 위한 적합한 보안전략이 고려되어야 합니다. 멀티클라우드 환경에서 데이터 보호를 위한 보안대책에 대해 알아 보겠습니다.

  1. CSP의 보안정책 이해 및 적합한 보안대책 강구

CSP (Cloud Service Provider)는 자신들의 인프라 보호를 위한 보안정책을 수립하여 운용하고 있으며, 고객과는 보안 상호 책임제 (Shared Responsibility Environment)를 통해 보호영역에 대한 책임성을 구분하고 있습니다. PaaS, IaaS 등 서비스 형태에 따라 책임성이 달라지므로, CSP와의 책임영역을 분명히 인식하여야 합니다. 따라서, 기업은 CSP의 보호영역에 대한 충분한 이해를 바탕으로 CSP와 함께 데이터와 어플리케이션 보호를 위한 적합한 솔루션을 논의합니다.

  2. 보안 컴플라이언스 준수

개인정보, 신용정보, 의료정보 등 데이터의 종류 및 사업영역에 따라, 데이터 보안을 위한 요건을 검토합니다. 특히, 클라우드에서 민감한 정보를 다룰 때에는 어느 나라에서나 신중한 결정이 요구됩니다. 따라서, 모든 멀티클라우드의 민감한 정보에 대해서는 데이터의 성격을 분석하고 그에 합당한 컴플라이언스 요건을 만족시키는지 검토하며, 내부 컨트롤이 가능한 서버에 저장하여 관리 합니다.

  3. 접근권한 관리 및 통제

데이터에 대한 접근계정이 많으면 많을 수록 그 만큼 오용 가능성과 보안 위험성은 증가하게 됩니다. 따라서, 최소한의 접근계정을 발급하고 IAM (Identity and Access Management)를 통해 적절한 권한관리 및 모니터링을 수행합니다.

  4. 가시성 확보

클라우드 속성상 제한 없는 서비스 플랫폼의 확장은 전체 운영환경에 대한 가시성을 확보하기에 어렵게 합니다. 가시성은 전체 네트워크 환경을 파악하고 관찰하여, 즉각적인 문제해결을 위해 반드시 필요합니다. 따라서, 멀티클라우드 환경에 적합한 고도화된 모니터링 솔루션을 도입하고 자동화된 대응기법을 통해, 신속한 침해사고 예방 및 대응을 수행합니다.

  5. 취약점 관리

응용프로그램과 소프트웨어는 해킹기술의 발전 및 운영환경에 따른 잠재적인 취약점을 가지고 있습니다. 따라서, 주기적으로 보안 취약점을 진단하고 제거할 필요가 있습니다. 취약점 스캐너와 더블어 위협 인텔리전스 솔루션을 이용할 경우, 최신의 보안위협 정보를 활용해 효과적인 데이터 보호를 수행할 수 있습니다.

  6. 지난 데이터 보호

대부분의 보안 솔루션은 실시간으로 거래되는 데이터를 보호하기 위한 용도에 사용되고 있습니다. 지난 데이터의 경우, 데이터 레이블 등 관리 소홀로 인해 상대적으로 보안위협에 노출될 가능성이 높습니다. 따라서, 기존 데이터라 할지라도 데이터 파악 및 레이블링을 통해 관리하고, DLP (Data Loss Prevention), 암호화 솔루션 등을 통해 데이터 유출에 대비합니다.

※ 원문: Securing Data in a Multicloud Environment

※ 세미나 사전등록: Containers and Data Security Webinar