‘클라우드 취약점 점검 가이드-보안설정(CCE)’ 어떤 내용 담겼나
클라우드 서비스 보안 설정을 위한 21개 항목 보안가이드 소개
[보안뉴스 원병철 기자] 클라우드 서비스가 확산되면서 보안위협에 대해 우려하는 사용자들도 늘고 있다. 정부가 추진 중인 디지털 뉴딜의 핵심산업 중 하나로 꼽히는 클라우드 서비스는 다양한 분야에 활용되며 단순 컴퓨팅 자원의 대여를 넘어 이제는 ICT 전체를 담고 있다. 이에 클라우드 서비스에서 보안사고가 발생할 경우 회사에 막대한 피해를 입을 수 있어 기업들의 고민도 커지고 있다.
[이미지=utoimage]
특히, 많은 전문가들은 2021년 클라우드를 대상으로 한 공격이 늘어날 것으로 보고 있다. SK인포섹은 ‘2021년 5대 사이버 위협’을 발표하면서 하이브리드 클라우드 환경의 보안 요소 증가를 꼽았고, 체크포인트 역시 2021년 사이버 보안 전망을 통해 기업 보안팀의 클라우드 보안위협 대비를 강조했다.
이에 클라우드 서비스 사용자들은 신뢰할 수 있는 서비스를 원했고, 정부는 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’에 의거, 정보보호 기준의 준수 여부를 인증기관을 통해 평가·인증 받는 ‘클라우드 보안 인증(CSAP)’ 제도를 만들어 제공하고 있다. 이 제도는 서면/현장평가, CCE(취약한 설정에 대한 점검), CVE(OS, App 고유의 취약점 점검), 시큐어코딩, 모의침투테스트 등의 평가를 진행한다.
문제는 이중 CCE 취약점 점검이 시간이 많이 소요되고, 시스템에 대한 영향도 분석 및 각 시스템에 대한 조치방법 등을 충분히 숙지해야 평가 대응 및 조치가 가능하기에 시스템 담당자들의 어려움이 많다는 점이다. 이에 한국인터넷진흥원(KISA)은 관련 담당자들의 이해를 돕고, 평가 대응 및 사전 준비가 용이하도록 CCE 취약점 가이드를 발간했다.
▲정보보호시스템 진단 체크리스트[자료=KISA]
CCE 취약점 가이드는 전체 21종의 보안 가이드를 제공하며, 각각은 △진단항목 △항목설명 △진단기준 △진단방법 △조치방법으로 구성됐다. 클라우드 보안 인증을 위한 담당자와 클라우드 서비스의 보안수준 향상을 위한 정보보호 담당자 등이 취약점 보안조치 관련해 해당 가이드를 활용할 수 있다. 다만 가이드는 클라우드 인증심사 시 취약점 점검(CCE) 평가 항목별 점검 기준과 방법에 대한 이해를 돕기 위해 발간한 것으로, 운영되는 서비스와 활용되는 기능 및 세부 버전 패치 등에 따라 점검 방법과 판단기준은 변경될 수 있다고 밝히고 있다.
보안가이드는 총 21개 항목, △XenServer △ESXi △Linux △Windows Server △Window PC △Cubrid △MongoDB △MS-SQL △MY-SQL △Postgres-SQL △Redis △Tomcat △Apache △IIS △NginX △Docker △OpenStack △Hadoop △Elasticsearch △네트워크 장비 △정보보호 시스템으로 구분됐으며, 각각 진단코드를 통해 진단할 항목을 구분·설명하고 있다.
진단항목은 취약도(상중하)와 항목 설명, 진단기준과 진단방법, 조치방법 등 세부적으로 구분되어 설명하고 있다. 위험도 기준은 상중하로 구분되어 있으며, 상은 장비의 관리자 권한을 직접 획득하거나 장비의 중요한 정보를 유출시켜 직접적인 영향을 줄 수 있는 취약점, 중은 간접적으로 접근경로를 제공하거나 정보유출의 가능성을 높일 수 있는 취약점, 하는 취약점을 이용해 해킹에 성공하더라도 장비 및 다른 장비에 영향 및 효과를 줄 수 없는 취약점으로 각각 구분된다.
한편, ‘클라우드 취약점 점검 가이드-보안설정(CCE)’ 전문은 KISA-ISMS 홈페이지 및 보안뉴스 콘텐츠 코너에서 내려받을 수 있다.
[원병철 기자(boanone@boannews.com)]
클라우드 서비스 보안 설정을 위한 21개 항목 보안가이드 소개
[보안뉴스 원병철 기자] 클라우드 서비스가 확산되면서 보안위협에 대해 우려하는 사용자들도 늘고 있다. 정부가 추진 중인 디지털 뉴딜의 핵심산업 중 하나로 꼽히는 클라우드 서비스는 다양한 분야에 활용되며 단순 컴퓨팅 자원의 대여를 넘어 이제는 ICT 전체를 담고 있다. 이에 클라우드 서비스에서 보안사고가 발생할 경우 회사에 막대한 피해를 입을 수 있어 기업들의 고민도 커지고 있다.
[이미지=utoimage]
특히, 많은 전문가들은 2021년 클라우드를 대상으로 한 공격이 늘어날 것으로 보고 있다. SK인포섹은 ‘2021년 5대 사이버 위협’을 발표하면서 하이브리드 클라우드 환경의 보안 요소 증가를 꼽았고, 체크포인트 역시 2021년 사이버 보안 전망을 통해 기업 보안팀의 클라우드 보안위협 대비를 강조했다.
이에 클라우드 서비스 사용자들은 신뢰할 수 있는 서비스를 원했고, 정부는 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’에 의거, 정보보호 기준의 준수 여부를 인증기관을 통해 평가·인증 받는 ‘클라우드 보안 인증(CSAP)’ 제도를 만들어 제공하고 있다. 이 제도는 서면/현장평가, CCE(취약한 설정에 대한 점검), CVE(OS, App 고유의 취약점 점검), 시큐어코딩, 모의침투테스트 등의 평가를 진행한다.
문제는 이중 CCE 취약점 점검이 시간이 많이 소요되고, 시스템에 대한 영향도 분석 및 각 시스템에 대한 조치방법 등을 충분히 숙지해야 평가 대응 및 조치가 가능하기에 시스템 담당자들의 어려움이 많다는 점이다. 이에 한국인터넷진흥원(KISA)은 관련 담당자들의 이해를 돕고, 평가 대응 및 사전 준비가 용이하도록 CCE 취약점 가이드를 발간했다.
▲정보보호시스템 진단 체크리스트[자료=KISA]
CCE 취약점 가이드는 전체 21종의 보안 가이드를 제공하며, 각각은 △진단항목 △항목설명 △진단기준 △진단방법 △조치방법으로 구성됐다. 클라우드 보안 인증을 위한 담당자와 클라우드 서비스의 보안수준 향상을 위한 정보보호 담당자 등이 취약점 보안조치 관련해 해당 가이드를 활용할 수 있다. 다만 가이드는 클라우드 인증심사 시 취약점 점검(CCE) 평가 항목별 점검 기준과 방법에 대한 이해를 돕기 위해 발간한 것으로, 운영되는 서비스와 활용되는 기능 및 세부 버전 패치 등에 따라 점검 방법과 판단기준은 변경될 수 있다고 밝히고 있다.
보안가이드는 총 21개 항목, △XenServer △ESXi △Linux △Windows Server △Window PC △Cubrid △MongoDB △MS-SQL △MY-SQL △Postgres-SQL △Redis △Tomcat △Apache △IIS △NginX △Docker △OpenStack △Hadoop △Elasticsearch △네트워크 장비 △정보보호 시스템으로 구분됐으며, 각각 진단코드를 통해 진단할 항목을 구분·설명하고 있다.
진단항목은 취약도(상중하)와 항목 설명, 진단기준과 진단방법, 조치방법 등 세부적으로 구분되어 설명하고 있다. 위험도 기준은 상중하로 구분되어 있으며, 상은 장비의 관리자 권한을 직접 획득하거나 장비의 중요한 정보를 유출시켜 직접적인 영향을 줄 수 있는 취약점, 중은 간접적으로 접근경로를 제공하거나 정보유출의 가능성을 높일 수 있는 취약점, 하는 취약점을 이용해 해킹에 성공하더라도 장비 및 다른 장비에 영향 및 효과를 줄 수 없는 취약점으로 각각 구분된다.
한편, ‘클라우드 취약점 점검 가이드-보안설정(CCE)’ 전문은 KISA-ISMS 홈페이지 및 보안뉴스 콘텐츠 코너에서 내려받을 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=spacer}
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
