[아이티비즈] “클라우드 보안, 무엇을 어떻게 해야 하나”(4편)

이번에는 지난 3편에 이어 클라우드 환경이 가지고 있는 나머지 보안상의 문제점을   살펴보고, 이에 대한 대비책을 알아보겠다.
◇ 다섯째, 클라우드 워크로드의 악성코드 및 CVE 취약점
클라우드 워크로드는 클라우드 내에서 가상서버, 인스턴스, 컨테이너 등의 IT리소스, 이 리소스에서 실행되는 각종 어플리케이션, DB, 서비스를 말한다. 이런 클라우드 워크로드의 모든 자산에는 악성코드 및 CVE취약점이 보안상의 문제점을 야기한다.

◇ 여섯째, 클라우드 인프라 및 서비스의 설정 오류
온프레미스에서 클라우드로 전환 시 서버, 스토리지, 네트워크 등 클라우드 내의 각종 IT리소스를 구성하게 되는데, 이를 구성 시 보안에 안전하게 설정을 해야 하나, 거의 모든 고객이 기본값으로 세팅하여 클라우드를 사용하고 있는 실정이다. 공격자는 이러한 설정에 취약한 부분을 찾아내어 클라우드를 공격하기도 한다.
◇ 일곱번째, 클라우드에서 사용하는 시크릿 정보의 노출
클라우드에서의 시크릿 정보라 함은 “비밀번호, 인증서, 토큰, SSH키, API키 등 보호된 리소스 또는 민감한 정보”를 말한다. 통계에 따르면, 클라우드 시크릿 정보의 노출로 2021년에는 전세계적으로 약 6천조에 이르는 손실을 보았다고 한다. 
◇ 여덟번째, 리눅스 플랫폼의 악성코드
모두들 아는 내용이지만, 클라우드의 기본이 되는 컨테이너 및 도커의 기술은 리늑스 OS에서만 작동된다. 클라우드가 활성화 되면서, 자연스럽게 리눅스(Linux) 환경이 활성화되었고, 이를 노리는 리눅스 악성코드 또한 증가하고 있다. 공격자들은 리눅스 악성코드를 새로 제작하는 것이 아닌 기존 윈도우(Windows) 악성코드를 리눅스로 포팅(porting)하여 배포하여 공격하고 있다.
◇ 아홉번째, Docker Escape 취약점
일반적으로 도커 환경에서는 하나의 컨테이너가 악성코드에 감염되어도 컨테이너들이 서로 격리된 환경에서 동작하기 때문에 다른 컨테이너 또는 ‘호스트(Host)’에 침범할 수 없다. 하지만 컨테이너에 ‘Docker Escape’(취약점 코드 : CVE-2019-19921등) 취약점이 존재한다면, 격리된 도커 환경을 벗어나 다른 도커 컨테이너나 호스트를 침범할 수 있어 상당한 보안 문제가 발생할 여지가 있다.

◇ 열번째, 클라우드에 있는 데이터의 유출 위험
온프레미스 환경과 달리 클라우드 환경에서는 가상서버와 인스턴스, 컨테이너 등 간에 수많은 양의 데이터가 이동하고 있다. 또한 클라우드는 인터넷을 통해 직접적으로 연결되어 있기 때문에, 데이터의 유출위험이 온프레미스 환경에 비하여 훨씬 많은 실정이다. 
이상 클라우드의 보안상 문제가 될 수 있다고 생각하는 열 가지 내용에 대하여 알아봤다. 이제부터 이러한 클라우드 보안상의 문제점을 완벽하게 보안 하기 위해 무엇을, 어떻게 해야 하는지 살펴보겠다.
첫번째로, 클라우드 도메인의 취약성을 이용한 공격인데, AWS같은 퍼블릭 클라우드 서비스 이용 시 제공받는 도메인을 이용해 공격자가 피싱 사이트를 만들고, 악성코드를 배포하는 것인데, 보통 일반 사용자들은 상위 도메인만 보고 해당 사이트가 정상 사이트라고 착각하여 개인정보를 입력하는 경우가 많다. 이에 수많은 피싱 사이트가 지속적으로 제작되어 유포되는 실정이다. 이러한 클라우드 도메인을 이용한 공격을 방어하기 위해서는 퍼블릭 클라우드 최초 구성 시 대표 도메인 및 하위 도메인에 대해 공격 표면관리( ASM : Attack Surface Management)나 CWPP(Cloud Workload Protection Platform)같은 클라우드 보안 솔루션으로 클라우드 도메인에 대한 지속적인 스캔 및 도메인 변경사항에 대한 점검을 자동화하는 도메인 비교 정책을 만들고 운용해야 한다.
두번째로, 도커 및 쿠버네티스 제어의 취약성을 이용한 공격인데, 클라우드 네이티브 환경이 확대되면서 대부분의 클라우드 인프라가 ‘도커(Docker)’로 구축되고 있다. 도커는 컨테이너 이미지와 컨테이너들을 관리할 수 있는 ‘CLI(Command Line Interface)’를 제공하는데, CLI는 로컬 환경에서만 사용할 수 있고, 원격에서 도커를 관리하기 위해서는 원격에서도 ‘CLI’ 사용이 가능한 ‘REST API’를 활용한다. ‘REST API’를 이용하면 원격 환경에서도 동일하게 도커들을 관리할 수 있다. 또한 쿠버네티스도 원격에서 워커노드 및 POD를 관리하기 위하여 Rest API 서버를 사용하는데, 이렇게 원격에서 API를 통해 관리할 때 도커나 쿠버네티스 REST API서버의 IP포트가 외부에 노출될 경우, 해커에 의해 공격 당할 수 있다. 이를 방어하기 위해서는 클라우드 보안 전문업체인 Tenable사에 제공하는 CIEM(Cloud Infrastructure Entitlement Management) 같은 기능으로 클라우드 리소스에 대한 접근권한 통제를 철저히 해야 하며, CNAPP기능중의 하나인 CDR(Cloud Detection & Response)같은 비정상행위나 이상행위탐지 기능 (아래 그림1 참조) 등으로 증명되지 않은 해커가 도커나 쿠버네티스를 제어하는 것을 철저히 관리하여야 한다
CNAPP의 CDR 기능 중 하나인 비정상적인 데이터 접근 기능
CNAPP의 CDR 기능 중 하나인 비정상적인 데이터 접근 기능
이번 여기서는 클라우드 보안상의 문제점을 방어하기 위한 2가지의 내용을 살펴보았고, 다음편에서는 나머지 부분에 대하여 자세하게 다루겠다.


<구체적인 내용이나 첨부파일은 아래 [아이티비즈] 사이트의 글에서 확인하시기 바랍니다.>

gtnfuz pONWWoCNtgnkZn9oYfZUy465YXvgXhN3KMgFVRTN9A1a82NcgSXNoo5E iCGQN4hO1NBuw iAFmjjP1fnQM6V0QHzfYYKc1TNUHEcYEqUGChW9JNGgGa8mP7czlcteKXKzhjQ91NzGS0RaQWK1
리엔 흑모비책 한방 크림염색제 – 8,300원

mI VuMlLDvBn rl2mD hllaI5Zeyr2rLKZnxej NtrXkiBuJgBekqcH6xKVD0pnXzG5CWoF4Ufxf7c icMGotGqXiQDX7wEC3kIAQ5aYmYlybxV8Hcj1oyZsIFnhKH9MkPu7yvzhMX7yxfwTG gJCjgOPe9KnEvsrfFnD7qnmHnEv6nF7RCpFy svMIZsEioimXrG7cKxHd2kbUMccyE7 FiThjUsAuPf0t7THloUEBx9k7d6Y9dd
미쟝센 쉽고 빠른 새치용 거품 염색약 – 20,180원

pUdhdJGqD3bzrCQDpWkIq3wKjMZPDSoJw2b7arYMyiL0pvw6rNd4Q44NwyHjpkkuEFXwGNxHk7qqGMyqcWIBgBrd8V0oOPQQ263sMFWZOBonIBv9zcoze6Rzb5 95fR3sc22BQlY gZMGS0l3hDeonb LTtVbdoe9hBUCbfBR3UvLNAGPNGCCR6y7 bZIl3ASr3g65aO8KLhnh9 uZVMnMNYRYXZQtDMxRIv4Bb lzTBDlFMtO5gEGBp1s2fx7Y 0cDPdAsAzMniDCCCw2r29wquPTfDBRz7yk=
다슈 컬러 패스트 체인지 새치전용 염색제, 자연갈색, 2개 – 16,400원

xNuQPDM9f2fsVsrUxJmyjWObZbWLdyOaYJHt0RxXzdmzp fC o0NNQjcfR8f5sVxQBGGxWPl5JOfiN5VSsnZ4w0UeE4gIh XQGRDWsvulj7vgNiVuszszt CTj3naBZLzFlThYjjYGmnbw3gXmuRs3N7Gl3cmNmdD HcIaKBayxHpZE9DYelC31NE8me2GMGnY6Eu64ZLe6 PWqrFB9WFUVuereZQ1HlfXjZjq6305ovCqHU4MjWP vWbFvQ675ZtEtgt1RbMlR6bJZi3FYNiBHyrnAT05mz1oz
에네스티 아로마 염모제 새치머리용, 5/0 자연갈색, 3개 – 14,500원

IBti1MnVvVEsag8fIDNf23Xq BjjjKyq4NqqlyVveCsnlqXpbcRsQhhg7jq WzqEdKKwS3n4N4svTsQIlQ778CD29l0aXkBQWc2ddtFwvwfnCJkaQIRy0 ypwsxsNmi4wtvoAvqDG3Wkmjr 8kCyECqL1QIUS0ZsXBlGq3Hi2UzV exi0xV Yn7y6QHoV4kbyL354foeccbTOhopPDyHZy9sBjNG50JXsceSJqfFXKv4qrEEK4
미쟝센 쉽고 빠른 거품 염색 새치전용 – 38,770원

yVB2tOnXDDR4xs2LyVSdtamUaKrS6rAjas2SIwSPmfCJG6HzDMHckAhQpb00L cM62Iaxc3YSrdfH4EYgqGkdWzHpomTJ5x2X0brfd HYox894hiSwUX c3ggr2pheUn6KVXgtMXRT6a3R d6 V6 P9IOOM kv9JDQ38Xg6BM
리엔 흑모비책 크림 염색약 120g, 흑색, 6개 – 23,400원

tgjbXTZ5QOU08G6 ooq5JmeGq4OgxCX2aCAN0m9E YwyV52pL 6InO6QXARa IPNuGOyUnxfH1GAuvLTaougnBpvv9K5z 1Kgu2HoXIa8JMCKHGVrCo0KOBaqU8CyeQ4w6DoYvNtFAXgbTiE
미쟝센 쉽고 빠른 거품 염색 새치전용 – 10,000원

Bp 3YSohpxofoIAGBgCxTMpCkLQSZpJJ8IIh5RMDNsST6q fJpV44bZA8TCOr HE7RLA9WDeZgnvw9gz8jocsqVMXbRKFl9o6hlai6HMWB 7sCyzJzf
리엔 흑모비책 골드 염색약 90g, 흑갈색, 2개 – 7,680원

S3SAv2HWRppXQeb3S5Swb4fkyJlXf7 PLzbGrEoG7sAA lS0ST7IqTJxEWbscUyqm0leoJE5yY83 ALPMZM0RT8dU6ociq6yQfEq0WSEM2bL4tzzr oYo2R1vUAv4v0PBCEPw3UeRRGhiA6Ov UO3SCly7f8CTzleKjy8dymsiN2xcC1kYyINd6y y6sutK9NR5azhiRVa4LUyYk ggAGgjXoOptvZsoQHrUVM5BXYSjdYeVwYIAPAkydXsFCMcLfigvvqE7X6m9DkNHQDgB81hK32Te
꽃을든남자 CS 먹물 헤어칼라 새치 커버용 – 4,940원

LeLsFv3hPoAUksZTLbyCK5CGaiY6ULXChjrULrxyyLMKPLvwUG6NK LMNNuBgDq2IjBqlqavSbgi8hb0EluggwtWu5jpg ymgKje92rKvVLVeHzSB2uHRk2rB1g6vxeBpjimB8iJYYt4IIghdNlwJVLFCtRmG8o1 i2JXMVHnxQP PznBLugl KNxusGCKU
포네온 에어로솔 버블 새치전용 염색약, 3N 진한갈색, 1개 – 13,400원

“파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음”

Add a Comment

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다