“민감 데이터를 클라우드에 보관한다”
88
%
자료 제목 :
2022 탈레스 클라우드 보안 연구
2022 Thales Cloud Security Study
자료 출처 :
Thales
원본자료 다운로드
관련 자료 :
발행 날짜 :
2023년 03월 29일
보안 / 클라우드

“민감 데이터 노리는” 간과하기 쉬운 클라우드 공격 벡터 3가지

David Linthicum | InfoWorld 2023.04.12
2022 탈레스 클라우드 보안 연구(2022 Thales Cloud Security Study)에 따르면, 기업의 88%가 상당한 양(최소 21%)의 민감 데이터를 클라우드에 저장한다. 민감 데이터의 비율이 훨씬 높다고 해도 이상하지 않은 결과다. 같은 조사에서 데이터 유출을 경험했거나 클라우드 기반 데이터/애플리케이션 관련 감사에 실패한 기업은 45%로 나타났다.
 
ⓒ Getty Images Bank

클라우드 컴퓨팅의 보안 문제 대부분은 사람이 원인이다. 사람은 쉽게 예방할 수 있는 실수를 저질러 기업에 수백만 달러의 손실을 입히고 평판을 낮춘다. 방어 전략의 일환으로 직원에게 끊임없이 변화하는 위협, 공격 벡터, 공격 방법을 식별하고 처리하는 데 필요한 교육을 제공하면 클라우드 보안을 원활하게 제어할 수 있지만, 이런 교육을 받는 직원은 드물다.

기업이 간과하기 쉬운 클라우드 컴퓨팅의 3가지 공격 벡터와 대비책을 알아보자.


사이드 채널 공격

클라우드 컴퓨팅의 맥락에서 사이드 채널 공격(side-channel attack)이란 다른 VM 및 프로세스와 동일한 물리적 서버를 공유하는 가상머신에서 중요한 데이터를 추출하는 것이다. 사이드 채널 공격은 전력 소비, 전자기 방사선 또는 소리 같은 물리적 환경에서 얻은 정보를 사용해 시스템에 대한 민감 정보를 유추한다. 예를 들어, 공격자는 전력 소비 데이터를 사용해 인접한 가상머신에서 데이터 암호화에 사용되는 암호화 키를 알아낼 수 있다. 물론 실행하기 매우 복잡하고 어렵지만, 이미 여러 번 수행된 기법이다. 

사이드 채널 공격을 완화하려면 물리적 보안에도 주의를 기울여야 하고 성능과 보안, 유용성 간의 복잡한 균형을 맞춰야 한다. 시스템에 노이즈를 추가해 공격자가 중요한 정보를 유추하기 어렵게 만드는 마스킹이 대표적인 방어책이며, 하드웨어 기반 대책(보호 장치 또는 필터)을 통해 사이드 채널 공격을 통해 유출될 수 있는 정보의 양을 줄이는 것도 방법이다.

이런 보호책은 클라우드 서비스 제공업체가 제공해야 한다. 데이터는 클라우드 서비스 업체의 데이터센터에서 나갈 수 없기 때문이다. 클라우드 서비스 업체에 이런 위험을 중재하는 방법이 있는지 문의하고, 좋은 답변을 얻지 못하면 업체를 바꾸는 것이 좋다.


컨테이너 탈출

컨테이너 탈출(Container Breakout)은 공격자가 컨테이너 내에서 기본 호스트 운영체제에 대한 액세스 권한을 얻는 공격 유형이다. 사람이 컨테이너를 잘못 구성했거나 공격자가 컨테이너 런타임의 취약점을 악용할 수 있는 경우 발생한다. 공격자가 호스트 운영체제에 대한 액세스 권한을 얻으면 잠재적으로 다른 컨테이너의 데이터에 액세스하거나 전체 클라우드 인프라의 보안을 손상시킬 수 있다. 

방어책은 호스트 시스템 보안, 컨테이너 격리 구현, 최소 권한 원칙 적용, 컨테이너 활동 모니터링 등이 있다. 이런 방법은 퍼블릭 클라우드든, 보다 전통적인 시스템과 장치든 컨테이너가 실행되는 모든 위치에 적용해야 한다. 최근 떠오르는 베스트 프랙티스의 일부이며, 큰 비용을 들이지 않고도 구현할 수 있다.


클라우드 서비스 제공업체의 취약점

사이드 채널 공격과 마찬가지로 클라우드 서비스 제공업체의 시스템 자체가 취약할 수 있으며, 이는 고객에게 심각한 결과를 초래한다. 공격자는 클라우드 서비스 업체의 취약점을 악용해 고객 데이터에 액세스하거나 서비스 거부 공격을 실행할 수 있다. 국가 행위자는 클라우드 서비스 업체를 표적으로 삼아 민감 데이터에 접근을 시도하거나 중요 인프라를 방해할 수 있다. 

이런 문제에서도 클라우드 서비스 업체에 대한 신뢰가 필요하다. 인프라에 대한 물리적 감사는 도움이 되지 않을 가능성이 크다. 다음과 같은 질문에 빠르고 명확하게 답변할 수 있는 클라우드 서비스 업체를 찾아야 한다.
 
  • 향후 몇 년 동안 맞닥뜨릴 수 있는 문제에 대응하기 위한 플레이북을 보유하고 있는가?
  • 문제를 어떤 방식으로 탐지하는가? 
  • 취약점을 제거하기 위해 어떤 조치를 취하고 있는가?
  • 사고 발생 시 금전적 보상을 제공하는가?

하나라도 대답을 주저한다면, 다른 업체를 찾는 것이 바람직하다.
editor@itworld.co.kr
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.