.gif)
기업의 클라우드 환경에 적합한 보안 프레임워크 마련돼야...접근 정책 수립 매우 중요
[보안뉴스 기획취재팀] 클라우드 도입이 늘면서 클라우드 보안에 대한 관심도 뜨겁다. 편리한 만큼 보안 위협도 커졌기 때문이다. 게다가 클라우드 도입에 따른 새로운 환경에서 보안을 어떻게 해야 하는지 보안담당자들의 고심은 깊어만 간다. 이에 본지는 제21회 세계보안엑스포(SECON & eGISEC 2022)에서 만난 클라우드 보안전문가들에게 효과적인 클라우드 보안전략에 대해 들어봤다.
[이미지=utoimage]
1. 클라우드에 적합·위협·책임·환경 등 고려한 ‘보안전략’
▲안랩 박문형 부장[사진=보안뉴스]
‘클라우드의 도전과제는 보안’이라고 지목한 안랩 박문형 부장은 “리눅스 계열의 보안위협이 90%”라고 지적하면서 “클라우드를 노리는 해커의 공격법으로는 API 취약점이 있다. 해커는 스캐닝 도구를 이용해 서버 취약점을 찾아 자격증명이나 인증 없이 서버를 장악한다. 장악된 서버 상당수는 악성 이미지를 도커 허브에서 내려받아 디도스 및 마이너 악성코드에 감염돼 악의적으로 이용될 수 있다”고 밝혔다.
클라우드 보안의 고려사항으로 박문형 부장은 △클라우드에 적합한 보안 필요 △클라우드 위협을 고려한 보안 △클라우드 환경을 고려한 보안 △공유 책임 모델을 고려한 보안 △클라우드 보안 프레임워크를 꼽았다.
이를 위한 실천방안으로 박 부장은 △MSA 환경에서 실시간 악성코드 탐지·차단 △운영시 리소스 사용 최소화 및 자원 제어 △백신이 커널모드에서 악성코드 탐지하는지 확인 △취약점 분석을 통한 시그니처 자동 추천 △네트워크에 침입한 공격자 정보 확인 △무결성 모니터링 △화이트리스트 기반 애플리케이션 실행 제어 등과 같이 어플리케이션 제어가 중요하다고 강조했다.
2. 기업에 맞는 클라우드 보안운영 기획·수립 ‘필수’
▲테이텀시큐리티 장현호 매니저[사진=보안뉴스]
“클라우드 운영에 있어 보안전략 수립이 중요하다”고 강조한 테이텀시큐리티 장현호 매니저는 “글로벌 기준의 프레임워크에 맞춰 보안전략을 세워야 한다”고 강조했다.
미국 국립표준기술연구소(NIST: National Institute of Standards and Technology)의 사이버 시큐리티 프레임워크를 살펴보면 식별(Identify), 보호(Protect), 감지(Detect), 대응(Respond), 회복(Recover)으로 구분돼 있다. △식별은 거버넌스, 자산관리, 설정관리, 위험평가, 컴플라이언스 △보호는 안티디도스, IPS, 방화벽, WAF, Application Segmentation, IDAM △감지는 SIEM, IDS·IPS, 취약점 스캐너, DLP, 파일 무결성 모니터링, 사이버위협 인텔리전스 △대응은 침해사고 대응, 장애대응, 포렌식 △회복은 재해복구, 침해사고 대응계획, 장애 대응계획이다.
이와 관련 장현호 매니저는 “개인정보 유출사고가 발생한 클라우드 이용 기업중 대다수는 감사와 모니터링 체계가 없었다. 글로벌 기준과 기업 환경에 맞게 클라우드를 운영하기 위한 프레임워크를 수립하고, 중앙집중화와 간소화에 심혈을 기울여 보안 전략을 세워야 한다. 무엇보다 명확한 식별 정의가 중요하다”고 강조했다.
3. 클라우드에서의 키 관리와 엑세스 정책 ‘중요’
▲탈레스 코리아 조재웅 부장[사진=보안뉴스]
탈레스 코리아 조재웅 부장은 클라우드에서 데이터를 안전하게 보호하기 위해서는 데이터 암호화, 키 관리, 클라우드 액세스 정책의 중요성을 강조했다.
클라우드로 이전하기 전, 모든 민감정보는 마스킹 처리와 함께 암호화하도록 사전에 정책이 마련돼 있어야 한다. 하지만 기업의 대부분은 민감정보가 노출된 상태로 이전된다고 우려한 조재웅 부장은 키 정책 관리를 중앙집중화해 클라우드 키관리를 손쉽게 해야 한다고 설명했다.
그러면서 조재웅 부장은 “키를 생성한 이후 키 소유자가 어떤 경로를 통해 접근하는지, 키 제공자는 신뢰도가 있는지, 탈취된 키는 아닌지, 키가 제대로 관리되고 있는지 등 키 관리가 용이하고, 안전하게 관리되도록 보안 전략을 세워야 한다”고 말했다.
[보안뉴스 기획취재팀(boan3@boannews.com)]
[보안뉴스 기획취재팀] 클라우드 도입이 늘면서 클라우드 보안에 대한 관심도 뜨겁다. 편리한 만큼 보안 위협도 커졌기 때문이다. 게다가 클라우드 도입에 따른 새로운 환경에서 보안을 어떻게 해야 하는지 보안담당자들의 고심은 깊어만 간다. 이에 본지는 제21회 세계보안엑스포(SECON & eGISEC 2022)에서 만난 클라우드 보안전문가들에게 효과적인 클라우드 보안전략에 대해 들어봤다.
[이미지=utoimage]
1. 클라우드에 적합·위협·책임·환경 등 고려한 ‘보안전략’
▲안랩 박문형 부장[사진=보안뉴스]
‘클라우드의 도전과제는 보안’이라고 지목한 안랩 박문형 부장은 “리눅스 계열의 보안위협이 90%”라고 지적하면서 “클라우드를 노리는 해커의 공격법으로는 API 취약점이 있다. 해커는 스캐닝 도구를 이용해 서버 취약점을 찾아 자격증명이나 인증 없이 서버를 장악한다. 장악된 서버 상당수는 악성 이미지를 도커 허브에서 내려받아 디도스 및 마이너 악성코드에 감염돼 악의적으로 이용될 수 있다”고 밝혔다.
클라우드 보안의 고려사항으로 박문형 부장은 △클라우드에 적합한 보안 필요 △클라우드 위협을 고려한 보안 △클라우드 환경을 고려한 보안 △공유 책임 모델을 고려한 보안 △클라우드 보안 프레임워크를 꼽았다.
이를 위한 실천방안으로 박 부장은 △MSA 환경에서 실시간 악성코드 탐지·차단 △운영시 리소스 사용 최소화 및 자원 제어 △백신이 커널모드에서 악성코드 탐지하는지 확인 △취약점 분석을 통한 시그니처 자동 추천 △네트워크에 침입한 공격자 정보 확인 △무결성 모니터링 △화이트리스트 기반 애플리케이션 실행 제어 등과 같이 어플리케이션 제어가 중요하다고 강조했다.
2. 기업에 맞는 클라우드 보안운영 기획·수립 ‘필수’
▲테이텀시큐리티 장현호 매니저[사진=보안뉴스]
“클라우드 운영에 있어 보안전략 수립이 중요하다”고 강조한 테이텀시큐리티 장현호 매니저는 “글로벌 기준의 프레임워크에 맞춰 보안전략을 세워야 한다”고 강조했다.
미국 국립표준기술연구소(NIST: National Institute of Standards and Technology)의 사이버 시큐리티 프레임워크를 살펴보면 식별(Identify), 보호(Protect), 감지(Detect), 대응(Respond), 회복(Recover)으로 구분돼 있다. △식별은 거버넌스, 자산관리, 설정관리, 위험평가, 컴플라이언스 △보호는 안티디도스, IPS, 방화벽, WAF, Application Segmentation, IDAM △감지는 SIEM, IDS·IPS, 취약점 스캐너, DLP, 파일 무결성 모니터링, 사이버위협 인텔리전스 △대응은 침해사고 대응, 장애대응, 포렌식 △회복은 재해복구, 침해사고 대응계획, 장애 대응계획이다.
이와 관련 장현호 매니저는 “개인정보 유출사고가 발생한 클라우드 이용 기업중 대다수는 감사와 모니터링 체계가 없었다. 글로벌 기준과 기업 환경에 맞게 클라우드를 운영하기 위한 프레임워크를 수립하고, 중앙집중화와 간소화에 심혈을 기울여 보안 전략을 세워야 한다. 무엇보다 명확한 식별 정의가 중요하다”고 강조했다.
3. 클라우드에서의 키 관리와 엑세스 정책 ‘중요’
▲탈레스 코리아 조재웅 부장[사진=보안뉴스]
탈레스 코리아 조재웅 부장은 클라우드에서 데이터를 안전하게 보호하기 위해서는 데이터 암호화, 키 관리, 클라우드 액세스 정책의 중요성을 강조했다.
클라우드로 이전하기 전, 모든 민감정보는 마스킹 처리와 함께 암호화하도록 사전에 정책이 마련돼 있어야 한다. 하지만 기업의 대부분은 민감정보가 노출된 상태로 이전된다고 우려한 조재웅 부장은 키 정책 관리를 중앙집중화해 클라우드 키관리를 손쉽게 해야 한다고 설명했다.
그러면서 조재웅 부장은 “키를 생성한 이후 키 소유자가 어떤 경로를 통해 접근하는지, 키 제공자는 신뢰도가 있는지, 탈취된 키는 아닌지, 키가 제대로 관리되고 있는지 등 키 관리가 용이하고, 안전하게 관리되도록 보안 전략을 세워야 한다”고 말했다.
[보안뉴스 기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
