2020.10.06

IDG 블로그 | CSA가 놓친 ‘악독한’ 클라우드 보안 위협 2가지

David Linthicum | InfoWorld
최근 클라우드 보안 연합이 ‘악독한’ 클라우드 보안 위협 11가지를 강조한 보고서를 발표했다. 여기에 2가지를 더 추가한다.

최근에 읽은 흥미로운 보고서는 클라우드 보안 연합(Cloud Security Alliance, CSA)이 발표한 것으로, 솔루션 업체의 후원을 받기는 했지만, 모두가 잊어서는 안되는 11가지 클라우드 보안 위협을 적시했다. 그리고 이들 위협을 ‘egregious’라고 표현했다. 
 
ⓒ Getty Images Bank

CSA는 클라우드 업계의 보안 전문가 241명을 대상으로 설문 조사를 실시했고, 다음과 같은 11가지 가장 악독한 보안 위협을 도출했다.
 
  • 데이터 유출
  • 잘못된 구성과 부적절한 변경 제어
  • 클라우드 보안 아키텍처와 전략의 부재
  • 불충분한 ID, 인증, 액세스, 키 관리
  • 계정 가로채기
  • 내부자 위협
  • 안전하지 않은 인터페이스와 API
  • 취약한 제어 플레인
  • 메타스트럭처와 애플리스트럭처(Applistructure, 애플리케이션과 기술 인프라의 병합) 실패
  • 제한적인 클라우드 사용 가시성
  • 클라우드 서비스의 남용과 오용

아주 훌륭한 보고서이며, 특히 클라우드 컴퓨팅 보안의 진화에 관심이 있다면, 좋은 자료가 될 것이다.

하지만 어떤 보고서도 모든 위협 패턴을 다 나열할 만큼 포괄적일 수는 없다. 11가지 위협에서 파생되는 위협은 말할 것도 없다. 필자는 여기에 너무나 자주 보는 두 가지를 12번과 13번으로 추가하고자 한다.

12. 클라우드 보안 시스템과 ‘일심동체’인 선제적 클라우드 모니터링 시스템의 부재
공격이 처음 발견했을 때, 공격처럼 보이지 않을 때가 많다. 일부 툴은 CPU나 스토리지 시스템의 잠식처럼 무엇인가 여러 번 변경되는 것을 감시하며, 보안에 중점을 두지 않은 IT 운영 툴은 이런 문제를 발견한다. 이들 툴의 경보를 클라우드 보안 시스템과 공유하고, 자동화를 사용해 회피 조치를 할 방법이 필요하다.

필자는 IT 운영 툴은 발견했지만, 보안 시스템은 발견하지 못한 여러 벡터를 사용한 공격 이야기를 너무나 많이 들었다. 보안은 사용량이나 성능 모니터링부터 거버넌스 시스템, 데이터베이스 모니터링 등 모든 클라우드 시스템의 기본이다. 이들 시스템은 보안 시스템이 사태를 파악하기 전에 숨어 있는 사기꾼을 찾아낼 수 있다. 다양한 시스템을 통합하고 서로서로 커뮤니케이션하도록 만들어야 하는 이유이다. 하지만 대부분은 그렇지 않다.

13. 클라우드 보안은 너무 복잡하고 시간이 많이 든다.
다중 인증과 매월 바뀌는 패스워드, 성능을 저해하는 암호화의 세상에 살게 되면서 보안은 너무 많은 대가를 치러야 하는 짐이 될 수 있다. 흥미로운 것은 더 복잡한 보안 시스템이 덜 안전하다는 것이다. 

이 문제는 사람의 행동에 달려 있다. 만약 클라우드 사용자에게 패스워드를 매월 변경하라고 요구한다면 어떻게 되겠는가? 사용자는 패스워드를 메모 프로그램에 기록하거나 포스트잇에 써서 모니터 옆에 붙여놓을 것이다. 게다가 시스템이 너무 느려진다고 암호화를 건너뛰는 사람도 적지 않다. 컴플라이언스 문제가 있는데도 말이다. 기본적으로 사람은 보안을 편의성이나 작업의 효율성과 맞바꾼다.

해법은 쉽지 않다. 엄격한 관리자가 나서서 이런 보안 정책 위반 행위를 강하게 질책할 수도 있다. 하지만 이런 방식은 역풍도 만만치 않다. 

해결책은 수동적인 보안 계획을 더 많이 배치하는 것이다. 예를 들어, 생체인식 같은 보안 솔루션을 이용하면, 잦은 패스워드 변경을 홍체 인식으로 대체할 수 있다. 또한 암호화 서비스를 별도의 서버에서 실행하면, 성능에 미치는 영향을 줄일 수 있다.

물론 몇날 며칠 위협을 찾아다닐 수도 있다. 하지만 좀 더 똑똑한 접근법은 남들이 ‘위협’이라고 하는 것에 집중하는 것보다는 자사의 클라우드 배치를 꼼꼼히 살펴보는 것이다. editor@itworld.co.kr


2020.10.06

IDG 블로그 | CSA가 놓친 ‘악독한’ 클라우드 보안 위협 2가지

David Linthicum | InfoWorld
최근 클라우드 보안 연합이 ‘악독한’ 클라우드 보안 위협 11가지를 강조한 보고서를 발표했다. 여기에 2가지를 더 추가한다.

최근에 읽은 흥미로운 보고서는 클라우드 보안 연합(Cloud Security Alliance, CSA)이 발표한 것으로, 솔루션 업체의 후원을 받기는 했지만, 모두가 잊어서는 안되는 11가지 클라우드 보안 위협을 적시했다. 그리고 이들 위협을 ‘egregious’라고 표현했다. 
 
ⓒ Getty Images Bank

CSA는 클라우드 업계의 보안 전문가 241명을 대상으로 설문 조사를 실시했고, 다음과 같은 11가지 가장 악독한 보안 위협을 도출했다.
 
  • 데이터 유출
  • 잘못된 구성과 부적절한 변경 제어
  • 클라우드 보안 아키텍처와 전략의 부재
  • 불충분한 ID, 인증, 액세스, 키 관리
  • 계정 가로채기
  • 내부자 위협
  • 안전하지 않은 인터페이스와 API
  • 취약한 제어 플레인
  • 메타스트럭처와 애플리스트럭처(Applistructure, 애플리케이션과 기술 인프라의 병합) 실패
  • 제한적인 클라우드 사용 가시성
  • 클라우드 서비스의 남용과 오용

아주 훌륭한 보고서이며, 특히 클라우드 컴퓨팅 보안의 진화에 관심이 있다면, 좋은 자료가 될 것이다.

하지만 어떤 보고서도 모든 위협 패턴을 다 나열할 만큼 포괄적일 수는 없다. 11가지 위협에서 파생되는 위협은 말할 것도 없다. 필자는 여기에 너무나 자주 보는 두 가지를 12번과 13번으로 추가하고자 한다.

12. 클라우드 보안 시스템과 ‘일심동체’인 선제적 클라우드 모니터링 시스템의 부재
공격이 처음 발견했을 때, 공격처럼 보이지 않을 때가 많다. 일부 툴은 CPU나 스토리지 시스템의 잠식처럼 무엇인가 여러 번 변경되는 것을 감시하며, 보안에 중점을 두지 않은 IT 운영 툴은 이런 문제를 발견한다. 이들 툴의 경보를 클라우드 보안 시스템과 공유하고, 자동화를 사용해 회피 조치를 할 방법이 필요하다.

필자는 IT 운영 툴은 발견했지만, 보안 시스템은 발견하지 못한 여러 벡터를 사용한 공격 이야기를 너무나 많이 들었다. 보안은 사용량이나 성능 모니터링부터 거버넌스 시스템, 데이터베이스 모니터링 등 모든 클라우드 시스템의 기본이다. 이들 시스템은 보안 시스템이 사태를 파악하기 전에 숨어 있는 사기꾼을 찾아낼 수 있다. 다양한 시스템을 통합하고 서로서로 커뮤니케이션하도록 만들어야 하는 이유이다. 하지만 대부분은 그렇지 않다.

13. 클라우드 보안은 너무 복잡하고 시간이 많이 든다.
다중 인증과 매월 바뀌는 패스워드, 성능을 저해하는 암호화의 세상에 살게 되면서 보안은 너무 많은 대가를 치러야 하는 짐이 될 수 있다. 흥미로운 것은 더 복잡한 보안 시스템이 덜 안전하다는 것이다. 

이 문제는 사람의 행동에 달려 있다. 만약 클라우드 사용자에게 패스워드를 매월 변경하라고 요구한다면 어떻게 되겠는가? 사용자는 패스워드를 메모 프로그램에 기록하거나 포스트잇에 써서 모니터 옆에 붙여놓을 것이다. 게다가 시스템이 너무 느려진다고 암호화를 건너뛰는 사람도 적지 않다. 컴플라이언스 문제가 있는데도 말이다. 기본적으로 사람은 보안을 편의성이나 작업의 효율성과 맞바꾼다.

해법은 쉽지 않다. 엄격한 관리자가 나서서 이런 보안 정책 위반 행위를 강하게 질책할 수도 있다. 하지만 이런 방식은 역풍도 만만치 않다. 

해결책은 수동적인 보안 계획을 더 많이 배치하는 것이다. 예를 들어, 생체인식 같은 보안 솔루션을 이용하면, 잦은 패스워드 변경을 홍체 인식으로 대체할 수 있다. 또한 암호화 서비스를 별도의 서버에서 실행하면, 성능에 미치는 영향을 줄일 수 있다.

물론 몇날 며칠 위협을 찾아다닐 수도 있다. 하지만 좀 더 똑똑한 접근법은 남들이 ‘위협’이라고 하는 것에 집중하는 것보다는 자사의 클라우드 배치를 꼼꼼히 살펴보는 것이다. editor@itworld.co.kr


X