상명대학교 / 서광규 교수

 

 

3. 클라우드 보안 과제 및 제안된 솔루션

“클라우드 컴퓨팅은 최소한의 관리 노력으로 신속하게 프로비저닝 및 릴리스할 수 있는 구성 가능한 컴퓨팅 리소스(예: 네트워크, 서버, 스토리지, 애플리케이션 및 서비스)의 공유 풀에 대한 어디서나 편리하며 주문형 네트워크 액세스를 가능하게 하는 모델이다. 또는 서비스 제공업체 상호 작용이다.”

많은 개인이 Microsoft Office 365, Gmail, Dropbox 등의 서비스를 통해 일상생활에서 무의식적으로 클라우드 컴퓨팅을 활용하고 있다. 클라우드 컴퓨팅을 채택하면 언제 어디서나 접근성, 지리적 범위 증가, 인프라 투자 감소 등 여러 가지 이점이 있다. 그러나 클라우드 컴퓨팅에는 보안 위험이 있다. 이러한 위험은 클라우드에 저장된 데이터, 프로그램 및 인프라의 보안을 위험에 빠뜨릴 수 있다. 조직에서 클라우드 서비스를 점점 더 많이 활용함에 따라 클라우드 리소스의 기밀성, 무결성 및 가용성을 보호하기 위해 이러한 위협을 인식하고 관리하는 것이 중요한다. 아래 다이어그램은 자주 발생하는 클라우드 보안 문제를 보여준다. 주어진 그림 6은 몇 가지 일반적인 클라우드 보안 문제를 보여주고 있다.

[그림6. 주요 클라우드 보안 위협]

 

3-1. 관리형 보안 위협

3-1-1. 클라우드 컴퓨팅의 남용

범죄자들은 ??클라우드 컴퓨팅을 사용하여 피해자를 표적으로 삼고 클라우드 서비스를 오용한다. 그들은 DDoS 공격, 피싱, 이메일 스팸 및 비트코인 ??채굴을 수행한다. 사용자의 클라우드 인프라에 침해가 발생하면 비즈니스에 심각한 결과를 초래할 수 있다. 따라서 기업에서는 클라우드 액세스를 모니터링하고 위험 완화 조치를 적용하는 것이 중요하다.

클라우드 서비스를 오용하는 경우 재해 복구 및 데이터 손실 방지 기술은 복구 프로세스에 매우 중요한다. 클라우드 컴퓨팅 남용은 다음을 포함하여 다양한 형태를 취할 수 있다.

- 승인되지 않은 접근

- 데이터 침해

- 자원 남용

- 암호화폐 채굴

- 스팸 및 피싱

 

해결책 :

MFA(Multi-Factor Authentication)와 같은 엄격한 인증 조치를 사용하여 승인된 사용자만 클라우드 서비스에 액세스할 수 있도록 한다. 직위와 책임에 따라 사용자 접근 권한을 정기적으로 검토하고 조정한다.

사용자 활동 모니터링 및 분석: 보안 모니터링 기술을 사용하여 클라우드 환경에서 비정상적이거나 의심스러운 활동을 감지한다. 로그 관리 및 분석 소프트웨어를 사용하여 의심되는 오용이나 무단 액세스를 추적하고 조사한다.

민감한 데이터 암호화: 암호화 방법을 사용하여 전송 중 데이터와 저장 중인 데이터를 암호화한다. 중요한 데이터를 클라우드에 저장하기 전에 암호화하고, 클라우드와 사용자가 안전한 통신 경로를 갖고 있는지 확인한다.

 

3-1-2. 악의적인 내부자

클라우드 컴퓨팅의 악의적인 내부자 위협은 클라우드 리소스에 대한 액세스 권한을 부여받았지만 의도적으로 악의적인 목적을 위해 자신의 권리를 남용하는 사람이 초래하는 위험과 관련이 있다. 클라우드 환경에 합법적으로 액세스할 수 있는 직원, 계약자 또는 서비스 제공업체가 이러한 내부자에 포함될 수 있다. 클라우드 컴퓨팅에서 적대적인 내부자 공격의 몇 가지 중요한 특징은 다음과 같다.

- 데이터 도난 또는 유출

- 승인되지 않은 접근

- 방해 행위 또는 데이터 조작

 

악의적인 내부자 위협 예방 및 완화 :

엄격한 액세스 제한, 최소 권한 원칙, 강력한 ID 및 액세스 관리(IAM) 정책을 구현한다. 정기적으로 직위와 책임에 따라 사용자 액세스 자격 증명을 검토하고 조정한다. 사용자 활동, 시스템 이벤트 및 데이터 액세스를 추적하는 강력한 모니터링 및 감사 시스템을 구현한다. 의심스러운 행동을 탐지하려면 실시간 경고 및 이상 탐지 기술을 사용한다.

- 직무 분리: 단일 직원이 불균형한 통제나 특권을 갖지 않도록 직무 분리를 시행한다. 역할을 분리하면 협업 가능성이 줄어들고 무단 행위를 방지하는 데 도움이 된다.

 

3-2. 기술적 보안 위협

3-2-1. 안전하지 않은 API

클라우드 컴퓨팅에서 보안 API 위협은 클라우드 서비스와 통신하는 데 사용되는 API(응용 프로그래밍 인터페이스)와 관련된 취약성 및 위험과 관련이 있다.

API는 서로 다른 소프트웨어 구성 요소 간의 링크 역할을 하여 통신과 데이터 공유를 가능하게 한다. 다음은 클라우드 컴퓨팅에서 널리 퍼져 있는 안전하지 않은 API 위험의 몇 가지 예이다.

- 무단 접속 및 인증 우회 인젝션 공격

- 안전하지 않은 데이터 전송

 

API 불안정성 완화 :?

강력한 비밀번호, 다단계 인증(MFA) 또는 토큰 기반 인증과 같은 강력한 인증 및 권한 부여 시스템을 구현한다. 승인된 사용자만 특정 API 기능 및 리소스에 액세스할 수 있도록 보장하려면 세분화된 승인 규칙을 사용한다.

- API 모니터링 및 로깅: 강력한 모니터링 및 로깅 시스템을 마련하여 API 활동을 기록하고 분석한다. 보안 위반이나 무단 액세스 시도를 나타낼 수 있는 비정상적이거나 의심스러운 활동이 있는지 API 로그를 검사한다.

 

3-2-2. 가상화 취약점

클라우드 설정에서 가상 머신(VM)의 구축 및 관리를 가능하게 하는 가상화 계층과 관련된 위험 및 취약점을 클라우드 컴퓨팅의 가상화 취약점 위협이라고 한다. 공격자는 이러한 취약점을 이용하여 가상화 인프라를 손상시키거나 VM에 대한 무단 액세스를 얻거나 악의적인 작업을 수행할 수 있다. 다음은 클라우드 컴퓨팅에서 가장 빈번하게 발생하는 가상화 보안 위험 중 일부이다.

- 하이퍼바이저의 취약점

- DoS 공격

 

가상화 취약점 완화에 대한 위협 :?

정기적인 패치 적용 및 업데이트: 알려진 취약점을 해결하기 위해 최신 보안 패치 및 업그레이드를 통해 하이퍼바이저 소프트웨어, 가상 머신 및 기타 가상화 구성 요소를 최신 상태로 유지한다.

- 강력한 VM 격리: 가상 네트워크, 액세스 제한 및 리소스 할당을 올바르게 설정하여 강력한 VM 격리를 보장한다. VM 간의 무단 액세스를 방지하려면 네트워크 분할, VLAN, 가상 방화벽과 같은 보안 방법을 사용한다.

- 취약성 검사 및 평가: 하이퍼바이저 및 가상 머신(VM)을 포함한 가상화 인프라에 대한 취약성 검사 및 평가를 자주 수행하여 보안 결함을 발견하고 해결한다. 감지된 취약점을 가능한 한 빨리 해결한다. VM이 안전하게 생성, 프로비저닝 및 폐기되도록 올바른 VM 수명주기 관리 방식을 구현한다. 공격 표면을 줄이려면 사용되지 않거나 불필요한 VM을 정기적으로 평가하고 제거한다.

 

3-2-3. 데이터 손실

클라우드에 저장된 데이터가 영구적으로 또는 의도하지 않게 손실될 가능성을 클라우드 컴퓨팅의 데이터 손실 위협이라고 한다. 클라우드 서비스는 수많은 데이터 중복성과 백업 시스템을 제공하지만 여전히 데이터 손실이 발생할 수 있는 상황이 있다. 다음은 클라우드 컴퓨팅에서 데이터 손실이 발생하는 가장 일반적인 이유 중 일부이다.

 

- 하드웨어 또는 인프라 장애

- 실수로 삭제했거나 사람의 실수로 발생한 경우

- 악의적인 활동

 

데이터 손실 위험 완화 :?

데이터 백업 및 복구: 빈번한 자동 데이터 백업 프로세스를 구현하여 중요한 데이터의 중복성과 여러 복사본을 제공한다. 주기적으로 데이터 복원 테스트 및 백업이 제대로 작동하는지 확인하는 기술이다.

- 중복 스토리지 및 복제: 여러 지리적 위치 또는 가용성 영역에 걸쳐 데이터 복제를 제공하는 클라우드 서비스를 사용한다. 이는 인프라 오류 또는 국지적 발생으로 인한 데이터 손실을 방지하는 데 도움이 된다. 하드웨어 오류, 자연 재해 또는 기타 재난 발생 시 데이터를 복구하는 방법을 지정하는 상세한 재해 복구 전략을 준비한다. recovery 전략은 정기적으로 테스트되고 검증되어야 한다.

 

3-2-4. 계정, 서비스, 트래픽 하이재킹

계정, 서비스, 트래픽 및 하이재킹에 대한 위협은 클라우드 컴퓨팅 설정에서 주요 보안 문제이다. 클라우드 계정 하이재킹은 공격자가 개인이나 조직의 클라우드 계정을 훔치거나 하이재킹하는 프로세스이다. 클라우드 계정 하이재킹은 공격자가 훔친 계정 세부 정보를 활용하여 유해하거나 승인되지 않은 동작을 수행하는 일반적인 신원 도용 전략이다. 클라우드 계정이 탈취되면 공격자는 해킹된 이메일 계정이나 기타 자격 증명을 사용하여 계정 소유자를 사칭하는 경우가 많다. 다음은 잠재적인 완화 전략뿐만 아니라 각 위험 범주에 대한 요약이다.

- 계정: 계정 위험에는 클라우드 사용자 계정에 대한 무단 액세스 및 사용자 자격 증명 손상이 포함된다. 완화 전략에는 다음이 포함된다. 사용자 계정의 보안을 강화하려면 MFA(다단계 인증)와 같은 강력한 인증 시스템을 구현한다. 복잡한 비밀번호를 활용하고 자주 업데이트하는 등 안전한 비밀번호 규칙을 시행한다.

- 서비스 위협: 서비스 위협은 클라우드 서비스를 표적으로 삼는 취약점 또는 공격이다. 완화 전략에는 알려진 취약점을 해결하기 위한 정기적인 패치 및 클라우드 서비스 업그레이드가 포함된다. 서비스에 대한 무단 액세스를 방지하기 위해 강력한 네트워크 및 애플리케이션 수준 방화벽을 구현한다. 침입 탐지 및 예방 시스템(IDPS)을 사용하여 비정상적인 활동을 모니터링하고 탐지한다.

- 트래픽: 클라우드 시스템 내부의 네트워크 트래픽 가로채기, 조작 또는 중단은 트래픽 위험의 예이다.

완화 전략에는 다음이 포함된다.

- HTTPS 또는 TLS(전송 계층 보안)와 같은 보안 통신 프로토콜을 사용하여 네트워크 통신을 암호화한다.

- DNS 답변의 무결성과 신뢰성을 보장하고 DNS 하이재킹을 방지하기 위해 DNSSEC(DNS Security Extensions)를 구현해야 한다.

- 네트워크 분할 및 액세스 제한을 사용하여 트래픽 흐름을 제한하고 가능한 위반의 영향을 완화한다.

 

 

---

 

4. 결론

본 원고에서는 NIST 클라우드 보안 프레임워크, CSA STAR, ISO/IEC 27017, COBIT5 및 AWS Well-architected 프레임워크를 포함하여 널리 사용되는 클라우드 보안 프레임워크를 살펴보았다. 이러한 프레임워크는 클라우드 컴퓨팅 시스템을 보호하고 중요한 보안 문제를 해결하며 데이터 및 리소스 기밀성, 무결성 및 가용성을 유지하기 위한 유용한 지침과 제어 기능을 제공한다. 클라우드 보안 프레임워크 측면에서 클라우드 시스템 보호와 관련된 특정 문제를 해결하는 데 사용할 수 있는 여러 프레임워크가 있는데 각 프레임워크에는 고유한 특성, 장점 및 단점이 있다. 여러 프레임워크를 비교하고 대조하면 모든 프레임워크에는 단점과 한계가 있기 때문에 단일 프레임워크가 클라우드 배포에 대한 모든 기준을 완전히 충족할 수 없다는 것이 분명해진다. 최상의 프레임워크 또는 프레임워크 조합을 선택하려면 조직은 고유한 요구 사항, 규정 준수 요구 사항 및 위험 허용 범위를 주의 깊게 조사해야 한다.

또한 데이터 침해, 무단 액세스, 보안되지 않은 API, 내부 위험, 불충분한 보안 조치 등이 클라우드 보안 위협에 대한 사례이다. 이러한 문제는 강력한 보안, 광범위한 위험 평가, 지속적인 모니터링 및 클라우드 인프라 개선의 결정적인 중요성을 강조한다. 클라우드 보안 문제는 클라우드 컴퓨팅 서비스를 사용하는 조직에 상당한 우려를 안겨준다. 그러나 이러한 문제는 사전 예방적인 조치와 견고한 보안 시스템을 통해 효율적으로 관리될 수 있다. 데이터 위반, 보호되지 않은 API, 클라우드 컴퓨팅 남용, 적대적인 내부 위협은 주요 클라우드 보안 문제 중 일부에 불과하다. 조직은 이러한 문제를 해결하기 위해 엄격한 액세스 제한, 민감한 데이터 암호화, 빈번한 보안 평가, 사용자 작업 모니터링 및 분석, 다단계 인증과 같은 강력한 인증 시스템과 같은 솔루션을 채택하는 데 중점을 두어야 한다. 또한 사용자에게 클라우드 보안 위험에 대해 교육하고 타사 보안 서비스를 권장하고 활용하는 것은 모두 클라우드 보안을 향상하는 데 도움이 될 수 있다.

 

 

---

참 고 문 헌

1. 
   
2. Tsochev, G.R.; Trifonov, R.I. Cloud computing security requirements: A Review. IOP Conf. Ser. Mater. Sci. Eng. 2022, 1216, 012001.
   
3. ISACA. Security Considerations for Cloud Computing; ISACA: Schaumburg, IL, USA, 2012.
   
4. CSA Top Threats Working Group. Top-Threat-2-to-Cloud-Computing-Insecure-Interfaces-and-Apis. CSA. 30 July 2022.
   
5. Jansen, W.; Grance, T. Guidelines on Security and Privacy in Public Cloud Computing; NIST: Gaithersburg, MD, USA, 2011.
   
6. NIST. NIST US Government Cloud Computing Technology Roadmap, Release 1.0 (Draft); NIST: Gaithersburg, MD, USA, 2011.
   
7. CSA. Security Guidance for Critical Areas of Focus in Cloud Computing v3.0; CSA: Toronto, ON, Canada, 2011.
   
8. Park, S.-J.; Lee, Y.-J.; Park,W.-H. Configuration Method of AWS Security Architecture That Is Applicable to the Cloud Lifecycle
   for Sustainable Social Network. Commun. Secur. Soc.-Oriented Cyber Spaces 2021, 2021, 3686423.
   

---

저작권 정책

K-ICT 클라우드혁신센터의 저작물인 『클라우드 보안 프레임워크 분석』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.