보안 / 클라우드

글로벌 칼럼 | 클라우드 보안이 여전히 혼란스러운 이유

David Linthicum | InfoWorld 2024.10.17
클라우드 보안 전문업체 테너블(Tenable)의 클라우드 위험 보고서(Tenable Cloud Risk Report 2024)에 따르면, 조사 대상 기업의 74%가 스토리지 또는 기타 잘못된 구성에 노출된 것으로 나타났다. 사이버 범죄자가 침입할 수 있는 문이 열려 있는 것이다. 전반적으로 클라우드 보안은 점점 더 악화되고 있다. 보안 도구의 가용성과 품질은 점점 좋아지고 있지만, 클라우드 컴퓨팅 인프라를 점검하는 사람들은 점점 더 멍청해지고 있다. 뭔가 대책이 필요하다.
 
ⓒ Getty Images Bank

테너블은 또한 클라우드 환경의 1/3 이상이 높은 권한, 공개적으로 노출된 워크로드, 매우 취약한 보안 등 여러 요인이 복합적으로 작용해 매우 취약하다는 사실을 발견했다. 이 놀라운 '독성 클라우드 3중주'는 이런 조직을 사이버 공격의 위험에 노출시키고 즉각적이고 전략적인 개입이 필요하다는 것을 보여준다.

가장 널리 퍼진 문제는 공개적으로 노출된 스토리지로, 과도한 권한으로 인해 민감한 데이터가 포함되어 있는 경우가 많아 랜섬웨어 공격의 주요 표적이 되고 있다. 또한, 액세스 키의 부적절한 사용은 여전히 심각한 위협으로 남아 있으며, 무려 84%의 조직이 사용하지 않는 높은 권한의 키를 보유하고 있는 것으로 나타났다. 2023년 9월에 발생한 MGM 리조트 데이터 유출과 같은 사건에서 알 수 있듯이, 이런 보안 감독 소홀은 기록적인 보안 침해 사고를 조장해 왔다.
 

컨테이너 오케스트레이션의 보안 문제

쿠버네티스 환경에는 또 다른 위험 요소가 존재한다. 이번 조사에 따르면 기업의 78%가 공개적으로 액세스할 수 있는 쿠버네티스 API 서버를 보유하고 있으며, 상당 부분이 인바운드 인터넷 액세스와 제한 없는 사용자 제어를 허용하고 있다. 이런 느슨한 보안 태세는 잠재적인 취약성을 악화시킨다.

이런 취약점을 해결하려면 포괄적인 접근 방식이 필요하다. 조직은 ID, 취약성, 잘못된 구성, 데이터 위험 정보를 통합해 컨텍스트 중심의 보안 프랙티스를 채택해야 한다. 이런 통합 전략을 통해 정확한 위험 평가와 우선순위를 정할 수 있다. 최소 권한 원칙을 적용하기 위해 자격 증명과 권한을 정기적으로 감사하는 것과 마찬가지로, PSS(Pod Security Standards)를 준수하고 권한 있는 컨테이너를 제한하고 쿠버네티스의 액세스를 관리하는 것은 필수적이다.
 

우선순위 지정이 핵심

특히 위험도가 높은 영역에 대한 취약점 개선의 우선순위를 정하는 것이 중요하다. 정기적인 감사와 선제적인 패치를 통해 노출을 최소화하고 보안 복원력을 강화할 수 있다. 이런 노력은 보안 프로토콜의 지속적인 개선과 적응성을 보장하는 강력한 거버넌스, 위험 및 규정 준수(GRC) 관행과 연계되어야 한다.

클라우드 보안은 기술, 프로세스, 정책을 통합해 위험을 완화하는 사전 예방적 자세를 요구한다. 사후 대응적인 조치에서 지속 가능한 보안 프레임워크로 발전하면 클라우드 인프라를 더 잘 보호하고 데이터 자산을 지킬 수 있다. 기업은 무엇을 어떻게 해야 할까?

강력한 액세스 제어 조치를 구현한다. 액세스 키를 정기적으로 감사하고 검사해 필요성과 권한 수준의 적절성을 확인한다. 액세스 키를 자주 교체하고 사용하지 않거나 불필요한 키를 제거해 무단 액세스의 위험을 최소화한다.

ID 및 액세스 관리를 강화한다. 최소 권한 원칙을 적용하는 엄격한 IAM 정책을 구현한다. 역할 기반 액세스 제어(RBAC)를 활용해 사용자가 업무 수행에 필요한 자원에만 액세스할 수 있도록 한다.

정기적인 보안 감사 및 침투 테스트를 수행한다. 클라우드 환경을 검사해 공격자가 악용하기 전에 취약점과 잘못된 구성을 찾아내 해결한다. 자체 보안팀 대신 이런 업무를 전문으로 하는 외부 조직에 의뢰하는 것이 좋다. 침해 사고에 대한 사후 분석을 수행한 결과, 수년 동안 기업 스스로 등급을 매겨왔다는 사실을 발견한 적이 얼마나 많았는지 모른다. 이런 기업은 스스로 A등급을 주었고 심지어 보너스와도 연계되어 있었다.

자동화된 모니터링 및 대응 시스템을 배포한다. 자동화된 도구는 지속적인 모니터링과 실시간 위협 탐지를 제공한다. 특정 유형의 보안 인시던트에 자동으로 대응할 수 있는 시스템을 구현해 탐지와 해결 사이의 시간을 최소화한다.

쿠버네티스 베스트 프랙티스를 따른다. 쿠버네티스 API 서버가 필요한 경우가 아니면 공개적으로 액세스되지 않도록 하고, 사용자 권한을 제한해 잠재적인 공격 경로를 줄인다.

취약성 관리의 우선순위를 정한다. 모든 소프트웨어와 클라우드 서비스, 특히 취약성 우선순위가 높은 서비스를 정기적으로 업데이트하고 패치를 적용해 새로 발견된 취약점으로부터 보호한다.

거버넌스, 위험 및 규정 준수(GRC) 프레임워크를 강화한다. 보안 제어의 효과를 평가하고 개선하기 위해 강력한 GRC 관행을 지속적으로 개발하고 유지한다. 여기에는 정책 개발, 위험 평가, 규정 준수 추적 및 지속적인 개선 이니셔티브가 포함되어야 한다.

보안 인식에 대한 직원 교육. 모든 직원이 클라우드 환경 내에서 보안을 유지하기 위한 최신 위협과 베스트 프랙티스를 이해할 수 있도록 지속적인 교육 및 인식 프로그램을 제공해야 한다. 앞서 언급했듯이 클라우드 컴퓨팅 보안 문제는 대부분 사람이 핵심이다.

핵심은 베스트 프랙티스와 올바른 보안 도구의 가용성이 아니라 자원이다. 성공에 필요한 모든 도구와 프로세스를 갖추고 있지만, 이를 효과적으로 수행하는 데 필요한 자원을 제대로 할당하지 않는 기업이 많다. MGM 리조트에 대형 보안 사고가 일어난 이유가 여기에 있다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.