이번에는 지난 3편에 이어 클라우드 환경이 가지고 있는 나머지 보안상의 문제점을 살펴보고, 이에 대한 대비책을 알아보겠다.
◇ 다섯째, 클라우드 워크로드의 악성코드 및 CVE 취약점
클라우드 워크로드는 클라우드 내에서 가상서버, 인스턴스, 컨테이너 등의 IT리소스, 이 리소스에서 실행되는 각종 어플리케이션, DB, 서비스를 말한다. 이런 클라우드 워크로드의 모든 자산에는 악성코드 및 CVE취약점이 보안상의 문제점을 야기한다.
클라우드 워크로드는 클라우드 내에서 가상서버, 인스턴스, 컨테이너 등의 IT리소스, 이 리소스에서 실행되는 각종 어플리케이션, DB, 서비스를 말한다. 이런 클라우드 워크로드의 모든 자산에는 악성코드 및 CVE취약점이 보안상의 문제점을 야기한다.
◇ 여섯째, 클라우드 인프라 및 서비스의 설정 오류
온프레미스에서 클라우드로 전환 시 서버, 스토리지, 네트워크 등 클라우드 내의 각종 IT리소스를 구성하게 되는데, 이를 구성 시 보안에 안전하게 설정을 해야 하나, 거의 모든 고객이 기본값으로 세팅하여 클라우드를 사용하고 있는 실정이다. 공격자는 이러한 설정에 취약한 부분을 찾아내어 클라우드를 공격하기도 한다.
온프레미스에서 클라우드로 전환 시 서버, 스토리지, 네트워크 등 클라우드 내의 각종 IT리소스를 구성하게 되는데, 이를 구성 시 보안에 안전하게 설정을 해야 하나, 거의 모든 고객이 기본값으로 세팅하여 클라우드를 사용하고 있는 실정이다. 공격자는 이러한 설정에 취약한 부분을 찾아내어 클라우드를 공격하기도 한다.
◇ 일곱번째, 클라우드에서 사용하는 시크릿 정보의 노출
클라우드에서의 시크릿 정보라 함은 “비밀번호, 인증서, 토큰, SSH키, API키 등 보호된 리소스 또는 민감한 정보”를 말한다. 통계에 따르면, 클라우드 시크릿 정보의 노출로 2021년에는 전세계적으로 약 6천조에 이르는 손실을 보았다고 한다.
클라우드에서의 시크릿 정보라 함은 “비밀번호, 인증서, 토큰, SSH키, API키 등 보호된 리소스 또는 민감한 정보”를 말한다. 통계에 따르면, 클라우드 시크릿 정보의 노출로 2021년에는 전세계적으로 약 6천조에 이르는 손실을 보았다고 한다.
◇ 여덟번째, 리눅스 플랫폼의 악성코드
모두들 아는 내용이지만, 클라우드의 기본이 되는 컨테이너 및 도커의 기술은 리늑스 OS에서만 작동된다. 클라우드가 활성화 되면서, 자연스럽게 리눅스(Linux) 환경이 활성화되었고, 이를 노리는 리눅스 악성코드 또한 증가하고 있다. 공격자들은 리눅스 악성코드를 새로 제작하는 것이 아닌 기존 윈도우(Windows) 악성코드를 리눅스로 포팅(porting)하여 배포하여 공격하고 있다.
모두들 아는 내용이지만, 클라우드의 기본이 되는 컨테이너 및 도커의 기술은 리늑스 OS에서만 작동된다. 클라우드가 활성화 되면서, 자연스럽게 리눅스(Linux) 환경이 활성화되었고, 이를 노리는 리눅스 악성코드 또한 증가하고 있다. 공격자들은 리눅스 악성코드를 새로 제작하는 것이 아닌 기존 윈도우(Windows) 악성코드를 리눅스로 포팅(porting)하여 배포하여 공격하고 있다.
◇ 아홉번째, Docker Escape 취약점
일반적으로 도커 환경에서는 하나의 컨테이너가 악성코드에 감염되어도 컨테이너들이 서로 격리된 환경에서 동작하기 때문에 다른 컨테이너 또는 ‘호스트(Host)’에 침범할 수 없다. 하지만 컨테이너에 ‘Docker Escape’(취약점 코드 : CVE-2019-19921등) 취약점이 존재한다면, 격리된 도커 환경을 벗어나 다른 도커 컨테이너나 호스트를 침범할 수 있어 상당한 보안 문제가 발생할 여지가 있다.
일반적으로 도커 환경에서는 하나의 컨테이너가 악성코드에 감염되어도 컨테이너들이 서로 격리된 환경에서 동작하기 때문에 다른 컨테이너 또는 ‘호스트(Host)’에 침범할 수 없다. 하지만 컨테이너에 ‘Docker Escape’(취약점 코드 : CVE-2019-19921등) 취약점이 존재한다면, 격리된 도커 환경을 벗어나 다른 도커 컨테이너나 호스트를 침범할 수 있어 상당한 보안 문제가 발생할 여지가 있다.
◇ 열번째, 클라우드에 있는 데이터의 유출 위험
온프레미스 환경과 달리 클라우드 환경에서는 가상서버와 인스턴스, 컨테이너 등 간에 수많은 양의 데이터가 이동하고 있다. 또한 클라우드는 인터넷을 통해 직접적으로 연결되어 있기 때문에, 데이터의 유출위험이 온프레미스 환경에 비하여 훨씬 많은 실정이다.
온프레미스 환경과 달리 클라우드 환경에서는 가상서버와 인스턴스, 컨테이너 등 간에 수많은 양의 데이터가 이동하고 있다. 또한 클라우드는 인터넷을 통해 직접적으로 연결되어 있기 때문에, 데이터의 유출위험이 온프레미스 환경에 비하여 훨씬 많은 실정이다.
이상 클라우드의 보안상 문제가 될 수 있다고 생각하는 열 가지 내용에 대하여 알아봤다. 이제부터 이러한 클라우드 보안상의 문제점을 완벽하게 보안 하기 위해 무엇을, 어떻게 해야 하는지 살펴보겠다.
첫번째로, 클라우드 도메인의 취약성을 이용한 공격인데, AWS같은 퍼블릭 클라우드 서비스 이용 시 제공받는 도메인을 이용해 공격자가 피싱 사이트를 만들고, 악성코드를 배포하는 것인데, 보통 일반 사용자들은 상위 도메인만 보고 해당 사이트가 정상 사이트라고 착각하여 개인정보를 입력하는 경우가 많다. 이에 수많은 피싱 사이트가 지속적으로 제작되어 유포되는 실정이다. 이러한 클라우드 도메인을 이용한 공격을 방어하기 위해서는 퍼블릭 클라우드 최초 구성 시 대표 도메인 및 하위 도메인에 대해 공격 표면관리( ASM : Attack Surface Management)나 CWPP(Cloud Workload Protection Platform)같은 클라우드 보안 솔루션으로 클라우드 도메인에 대한 지속적인 스캔 및 도메인 변경사항에 대한 점검을 자동화하는 도메인 비교 정책을 만들고 운용해야 한다.
두번째로, 도커 및 쿠버네티스 제어의 취약성을 이용한 공격인데, 클라우드 네이티브 환경이 확대되면서 대부분의 클라우드 인프라가 ‘도커(Docker)’로 구축되고 있다. 도커는 컨테이너 이미지와 컨테이너들을 관리할 수 있는 ‘CLI(Command Line Interface)’를 제공하는데, CLI는 로컬 환경에서만 사용할 수 있고, 원격에서 도커를 관리하기 위해서는 원격에서도 ‘CLI’ 사용이 가능한 ‘REST API’를 활용한다. ‘REST API’를 이용하면 원격 환경에서도 동일하게 도커들을 관리할 수 있다. 또한 쿠버네티스도 원격에서 워커노드 및 POD를 관리하기 위하여 Rest API 서버를 사용하는데, 이렇게 원격에서 API를 통해 관리할 때 도커나 쿠버네티스 REST API서버의 IP포트가 외부에 노출될 경우, 해커에 의해 공격 당할 수 있다. 이를 방어하기 위해서는 클라우드 보안 전문업체인 Tenable사에 제공하는 CIEM(Cloud Infrastructure Entitlement Management) 같은 기능으로 클라우드 리소스에 대한 접근권한 통제를 철저히 해야 하며, CNAPP기능중의 하나인 CDR(Cloud Detection & Response)같은 비정상행위나 이상행위탐지 기능 (아래 그림1 참조) 등으로 증명되지 않은 해커가 도커나 쿠버네티스를 제어하는 것을 철저히 관리하여야 한다
이번 여기서는 클라우드 보안상의 문제점을 방어하기 위한 2가지의 내용을 살펴보았고, 다음편에서는 나머지 부분에 대하여 자세하게 다루겠다.
저작권자 © 아이티비즈 무단전재 및 재배포 금지
