블로그

클라우드 보안: 당신이 정말로 알아야 할 것

요약

회사가 계획된 조치나 섀도 IT로 인해 클라우드로 전환했을 가능성이 높으므로 앱 보안이 가장 중요한 관심사여야 합니다. 걱정해야 할 일들이 몇 가지 있는데, 클라우드 운영자가 저장 중인 데이터를 훔칠 수도 있고, 악의적인 행위자가 전송 중인 데이터를 가로채서 읽을 수도 있고, 악의적인 행위자가 "클라우드 해킹"을 해서 모든 것을 훔칠 수도 있습니다. 이런 것들을 제거하면 정말로 중요한 것들로 돌아갈 수 있습니다.

Brian A. McHenry 썸네일
브라이언 A. 맥헨리
2017년 1월 18일 게시

5분 읽다

거의 모든 회사가 계획된 조치를 통해서든 직원들이 허가받지 않은 클라우드 서비스를 도입하든 어떤 식으로든 클라우드로 전환하고 있습니다. 근로자들은 일반적으로 업무를 보다 효율적으로 수행하기 위해 클라우드 서비스를 도입하지만, 기업 경영에 우려를 주는 보안 문제를 고려하지 않고 도입합니다.

안타깝게도 기업들은 클라우드 보안과 관련해 잘못된 문제에 대해 걱정하는 경우가 많습니다. 전반적으로 클라우드 제공업체는 일반 기업에 비해 서비스 보안을 훨씬 잘 갖추고 있으므로 클라우드 제공업체의 보안이나 클라우드 제공업체가 해킹당할 가능성에 대해 지나치게 걱정할 필요는 없습니다.

클라우드 인프라에 대한 가장 우려되는 위협은 침해이며, 그 원인은 다양합니다.

대신, 당신이 제어하는 클라우드 부분에 대해 걱정해야 합니다. 그러한 우려 사항은 회사에서 어떤 유형의 클라우드를 구축하는지에 따라 달라집니다. 서비스로서의 인프라(IaaS)를 활용하면 보안에 대한 제어권이 훨씬 커지지만, 그에 따라 보안에 대한 책임도 훨씬 커집니다. SaaS(Software as a Service)를 사용하면 보안에 대한 통제권을 최소한으로 확보하고 대부분의 책임을 서비스 제공자에게 넘길 수 있습니다. 서비스로서의 플랫폼(PaaS)은 두 가지를 섞은 것입니다.
이러한 이유로 귀하가 채택하는 클라우드 서비스 모델은 보안과 관련하여 공급자의 책임 수준을 결정합니다. 꼭 알아야 할 사항은 다음과 같습니다.

1. 클라우드 애플리케이션 및 인프라에 대한 위협을 이해하세요

클라우드 인프라에 대한 가장 우려되는 위협은 다른 인프라와 마찬가지로, 다양한 원인으로 발생하는 침해입니다. 침해에는 여러 수준이 있다는 것을 인식하는 것이 중요합니다. 관리자 계정에 접근한 공격자는 제한된 사용자 계정에 접근한 공격자보다 훨씬 더 많은 통제력을 행사합니다.

그러한 이유로 관리자 및 권한이 있는 사용자에 대해 더 많은 관심을 가져야 하며, 모든 사용자 계정에 적용되는 일반적인 수준 이상으로 해당 계정을 모니터링해야 합니다. 이러한 보안 위협은 모든 유형의 클라우드에 적용됩니다. 회사 직원은 SaaS, PaaS 및 IaaS 인프라에 대한 어떤 형태의 관리자 액세스 권한을 유지 관리하기 때문입니다.

2. 신원과 액세스를 안전하게 관리하세요

확장하여, 클라우드 서비스 보안을 위해서는 신원과 액세스의 중요성에 특별한 주의를 기울여야 합니다. 신원 및 액세스 데이터 저장소는 보호되어야 하며 면밀히 모니터링되어야 합니다. 그러나 평균적인 회사는 직원이 사용하는 클라우드 애플리케이션 1,031개를 처리해야 하며, 연합 ID 관리나 단일 로그인 인프라 없이는 이를 달성할 수 없습니다.

클라우드에서 보안을 유지하는 것은 공유 책임입니다.

3. 가용성에 대한 위협을 상쇄합니다

분산 서비스 거부(DDoS) 공격은 더욱 정교해지고 실행하기가 쉬워졌습니다. 부터(booters)나 스트레서(stressers)라고도 불리는 DDoS 전문 서비스는 네트워크나 웹사이트를 다운시키는 데 손쉽게 이용할 수 있습니다. 클라우드 서비스가 더욱 대중화되면서 DDoS 공격의 피해도 더 커졌습니다. 공격자는 단 한 번의 공격으로 여러 회사의 중요한 비즈니스 서비스를 중단시킬 수 있기 때문입니다.

예를 들어 2016년 10월에는 수만 대의 디지털 비디오 레코더, 카메라, 홈 라우터를 이용한 대규모 DDoS 공격이 DNS 제공업체인 Dyn을 표적으로 삼았는데 , Dyn의 고객은 이 서비스를 이용해 온라인 사용자를 자사 사이트로 유도합니다. 그 결과 Netflix, Twitter, PayPal을 포함한 많은 인터넷 서비스가 중단되었습니다.

공급업체가 공격을 견뎌낼 만큼 탄력적인지 확인해야 합니다. 많은 클라우드 인프라 공급업체가 대역폭을 늘리는 기능을 제공하지만, 공격이 발생하는 동안에는 추가 대역폭에 대한 요금을 부과하는 경우가 많아 기업에 막대한 손실을 초래합니다. 공격 수준을 따라잡는 데 비용이 너무 많이 드는 시점이 언제인지 평가해야 하며, 앱에 도달하기 전에 악성 트래픽을 차단하기 위해 DDoS 완화 서비스를 고용하는 것이 더 합리적인지 확인해야 합니다.

4. 취약점 위협 관리

2015년에 해커가 바이러스 백신 회사인 비트디펜더의 퍼블릭 클라우드의 취약점을 이용해 암호화되지 않은 사용자 이름과 비밀번호를 상당수 훔쳤습니다. 취약점은 온프레미스 장치 및 어플라이언스만큼이나 클라우드 인프라에 위협이 됩니다.

기업은 민첩한 방식으로 패치를 적용할 수 있어야 하며, 이는 운영팀이 어떤 인프라 구성 요소가 취약한지 파악하고 해당 취약성을 관리할 수 있는 옵션을 가져야 한다는 것을 의미합니다. 빠른 패치 배포가 우선순위여야 하지만, 보안 팀이 추가 문제를 일으키지 않고 문제를 해결할 수 있는 충분한 시간을 확보하기 위해 가상 패치도 사용해야 합니다.

전반적으로 클라우드 서비스와 플랫폼은 서비스 수준 계약과 정기적인 업데이트 및 패치로 인해 일반 회사의 인프라보다 더 안전한 경향이 있으므로 기업은 통제 가능한 클라우드 측면에 집중해야 합니다. 기업은 액세스 및 자격 증명 제어, 서비스 가용성 유지, 자사가 제어할 수 있는 클라우드 인프라 부분의 취약성 관리에 집중하면 클라우드가 훨씬 더 안전한 옵션이라는 것을 알게 될 것입니다.


F5 Networks의 수석 보안 솔루션 아키텍트인 Brian McHenry는 웹 애플리케이션과 네트워크 보안에 중점을 둡니다. 맥헨리는 고객과 F5 제품 팀 사이의 연락 담당자 역할을 하며, 실무적이고 현실적인 관점을 제공합니다. 그는 InformationSecurityBuzz.com의 정기 기고자이며, BSidesNYC의 공동 창립자이며 AppSecUSA, BC Aware Day, GoSec Montreal, Central Ohio Infosec Summit 등에서 연설을 하고 있습니다. 맥헨리는 2008년 F5에 합류하기 전, 자신을 IT 전문가라고 소개하며 스타트업부터 대형 금융 서비스 회사에 이르기까지 다양한 기술 조직에서 리더십 직책을 맡았습니다.