클라우드 내 데이터라고 해서 해커들이 못 노릴 것이 없다. 실제 많은 데이터가 클라우드에서 다크웹으로 흘러 들어가는 상황이고, 다크웹은 그 어느 때보다 풍성한 데이터를 누리고 있다. 여기에 대한 대처는 하나, 우리 자신을 되돌아보는 것이다.
[보안뉴스 문가용 기자] 기업 활동에 있어 데이터의 중요성은 갈수록 높아지고 있다. 그러면서 데이터 저장소에 대한 수요 역시 증가하는 중이다. 일찌감치 사이버 범죄자들도 데이터를 노려왔기 때문에 데이터 저장소는 안전해야 하고, 동시에 유연한 활용도 보장해 줄 수 있어야 한다. 클라우드 기반 저장소가 인기를 높이기 시작했고, 그와 동시에 이 클라우드를 노리는 공격자들의 수법 역시 날카로워지기 시작했다. 현재 클라우드는 해커들의 놀이터처럼 되어버린 상황이다.
[이미지 = utoimage]
지난 수년 동안 벌어진 사건들을 통해 얻어낸 뼈아픈 교훈은 “통제권 밖으로 나간 데이터는 절대로 돌아오지 않는다”는 것이다. 흔히 ‘데이터가 온라인 공간으로 유출됐다’고 말하는데, 이 말의 속뜻은 ‘그 데이터를 회수할 방법은 없다’는 것이기도 하다. 그렇기 때문에 보안 담당자들은 데이터 유출 사고가 발생했을 때의 조치 방법을 미리 강구해야 하는데, 여기에 ‘회수 노력’이 포함될 필요는 없다. 어차피 안 되는 일이기 때문이다.
데이터 유출은 뉴스 매체들이 발표하는 것보다 훨씬 빈번하게 일어난다. 대기업들이나 주요 정부 기관들에서만 발생하는 일이 아니다. 반대로 보안에 전혀 신경을 쓸 수 없는 작은 기업이나 부실한 기업들만 희생양이 되는 것도 아니다. 네슬레 같은 거대 기업도 어나니머스(Anonymous)와 같은 아마추어 해킹 단체에 당해 내부 정보가 유출되는 일을 겪기도 했다.
데이터는 어엿한 기업의 자산이고, 여타 다른 자사들과 같은 수준으로 보호를 받아야 한다. 백업 데이터, 감사 기록, 임의 파일 모두가 여기에 포함된다. 그러니 기업에 소속된 인원이라고 해서 모두가 접근할 수 있어서도 안 되고, 아무나 집으로 가져갈 수 있어도 안 된다. 당연하지만 외부 인원에 대한 열람 역시 철저하게 막아야 한다.
하지만 대부분 조직들이 클라우드에 저장된 데이터를 이렇게 조심스럽게 취급하지 않는다. 지난 수년 동안, 그리고 지금까지, 아마존 S3 버킷과 마이크로소프트 애저 환경의 부실한 관리 때문에 노출된 데이터가 실제 해커들의 공격으로 유출된 데이터보다 훨씬 많은 것이 이를 증명한다. 예를 들어 콜롬비아와 페루의 주요 공항 네 곳은 얼마 전 직원들의 개인정보 3TB가 저장된 클라우드를 공공 인터넷에 고스란히 노출시키기도 했었다. 데이터가 자산이라는 인식 자체가 없기 때문에 나타나는 현상이라고 볼 수 있다.
이와 유사한 사례는 끝도 없이 나타나고 있다. 터키의 항공사인 페가수스는 클라우드에 비밀번호를 걸지 않아 6.5TB의 민감한 정보를 노출시켰다. 일본의 온라인 의료 상담 서비스인 딕터즈미(Doctors Me) 역시 스토리지를 전혀 보호하지 않음으로써 1만 2천 명에 달하는 환자들의 민감한 정보를 고스란히 노출시키기도 했었다. 이런 사례만 다 수집해도 수십 권의 책이 나올 지경이다. 이와 유사하게 설정 오류 때문에 데이터베이스가 노출되는 사례도 어마어마하게 많다.
데이터 보호의 기본 장치 중 하나는 데이터 암호화다. 중요한 데이터일수록 그냥 저장하는 게 아니라 암호화된 상태로 저장하는 게 안전하다. 이렇게 하면 설사 해커가 데이터를 훔쳐갔다고 하더라도 데이터를 활용할 수 없게 된다. 클라우드 환경에 데이터를 저장할 때 이 암호화 단계를 잊어버리는 조직들이 아직 상당히 많다. 이 역시 사용자들 편에서 저지르는 중요한 오류라고 할 수 있다.
이러한 실수들은 그 동안 꾸준히 지적되어 왔다. 하지만 잘 고쳐지지 않는 게 현실이다. 어떻게 해야 할까? 필자라고 해서 딱히 새로운 방법론을 제시할 수 있는 건 아니다. 다만 다시 한 번 이야기를 반복함으로써 기억을 되새기게 한다면 그것만으로도 충분할 것이라고 생각한다. 이 다음으로도 누군가 계속해서 같은 글을 올려주기를 기대하는 마음이다.
1. 데이터에 대한 주인정신
위에서도 말했지만 데이터는 매우 진귀하고 소중한 기업의 자산이다. 비싼 서버 장비나, 리스한 자동차 만큼 함부로 다뤄서는 안 되는 것이다. 이 사실을 마음에 새기고 또 새기는 게 중요하다. 어제 입사한 신입 사원에게 회사 자동차 키를 넘기지 않듯이, 데이터 역시 최소한으로만 공개해야 한다. 직원들끼리 마구 데이터를 퍼 나르고 공유하지도 못하게 해야 한다. 데이터를 비싼 물건 다루듯 하는 분위기를 내부적으로 조성하는 데 힘을 써보는 게 장기적으로 도움이 될 것이다.
2. 데이터 보안 문화 자체를 강화
데이터가 비싼 자산이라고 생각한다면, 데이터의 저장 및 관리 현황을 주기적으로 검사 및 평가하는 것도 당연한 일이다. 이 때 산업 혹은 국가 내 데이터 보안 규정과 표준에 의거해 검사를 제대로 하는 게 중요하다. CEO나 보안 책임자의 개인적인 기준으로 검사를 한다면, 편리하긴 하겠지만 ‘공식적’이라는 느낌이 들지는 않는다. 그러므로 시간이 지나면서 점점 그 가치가 가벼워진다. 데이터를 주기적으로 엄격하게 점검한다면 자연스럽게 보안 문화가 자리를 잡을 수 있다. 그런 분위기라면 클라우드를 사용하는 데 있어 실수가 줄어들 것이다.
3. 데이터를 제어
누구나 원하는 대로 데이터를 열람하거나 활용할 수 있게 된다는 건, 회사가 데이터에 대한 통제권한을 잃은 것과 같다고 볼 수 있다. ‘최소 권한의 원칙’을 분명하게 수립하는 게 중요하다. 어제 입사한 신입은 물론 회사의 대표까지, 누구나 자기의 역할과 직급에 맞는 데이터에만 접근할 수 있어야 한다. 이런 상황이 되어야 비로소 ‘회사가 데이터를 통제한다’는 것에 가까워질 수 있다.
4. 비정상적인 트래픽은 최대한 빨리 찾아내 제거
클라우드 데이터 보안은 결국 기업 전체 보안 능력과 관련이 깊은 영역이다. 다른 데이터는 함부로 다루면서 클라우드만 안전하게 지킨다는 건 불가능하다. 클라우드건 어디건, 회사의 네트워크 안에서 발생하는 이상한 행동과 패턴들을 최대한 빨리 발견하여 제거할 수 있는 능력을 갖추면 자연스럽게 클라우드 데이터도 더 안전하게 된다. 실수가 있더라도 피해를 최소화 할 수 있다.
글 : 개드 로젠탈(Gad Rosenthal), 제품 관리자, Eureka Security
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 기업 활동에 있어 데이터의 중요성은 갈수록 높아지고 있다. 그러면서 데이터 저장소에 대한 수요 역시 증가하는 중이다. 일찌감치 사이버 범죄자들도 데이터를 노려왔기 때문에 데이터 저장소는 안전해야 하고, 동시에 유연한 활용도 보장해 줄 수 있어야 한다. 클라우드 기반 저장소가 인기를 높이기 시작했고, 그와 동시에 이 클라우드를 노리는 공격자들의 수법 역시 날카로워지기 시작했다. 현재 클라우드는 해커들의 놀이터처럼 되어버린 상황이다.
[이미지 = utoimage]
지난 수년 동안 벌어진 사건들을 통해 얻어낸 뼈아픈 교훈은 “통제권 밖으로 나간 데이터는 절대로 돌아오지 않는다”는 것이다. 흔히 ‘데이터가 온라인 공간으로 유출됐다’고 말하는데, 이 말의 속뜻은 ‘그 데이터를 회수할 방법은 없다’는 것이기도 하다. 그렇기 때문에 보안 담당자들은 데이터 유출 사고가 발생했을 때의 조치 방법을 미리 강구해야 하는데, 여기에 ‘회수 노력’이 포함될 필요는 없다. 어차피 안 되는 일이기 때문이다.
데이터 유출은 뉴스 매체들이 발표하는 것보다 훨씬 빈번하게 일어난다. 대기업들이나 주요 정부 기관들에서만 발생하는 일이 아니다. 반대로 보안에 전혀 신경을 쓸 수 없는 작은 기업이나 부실한 기업들만 희생양이 되는 것도 아니다. 네슬레 같은 거대 기업도 어나니머스(Anonymous)와 같은 아마추어 해킹 단체에 당해 내부 정보가 유출되는 일을 겪기도 했다.
데이터는 어엿한 기업의 자산이고, 여타 다른 자사들과 같은 수준으로 보호를 받아야 한다. 백업 데이터, 감사 기록, 임의 파일 모두가 여기에 포함된다. 그러니 기업에 소속된 인원이라고 해서 모두가 접근할 수 있어서도 안 되고, 아무나 집으로 가져갈 수 있어도 안 된다. 당연하지만 외부 인원에 대한 열람 역시 철저하게 막아야 한다.
하지만 대부분 조직들이 클라우드에 저장된 데이터를 이렇게 조심스럽게 취급하지 않는다. 지난 수년 동안, 그리고 지금까지, 아마존 S3 버킷과 마이크로소프트 애저 환경의 부실한 관리 때문에 노출된 데이터가 실제 해커들의 공격으로 유출된 데이터보다 훨씬 많은 것이 이를 증명한다. 예를 들어 콜롬비아와 페루의 주요 공항 네 곳은 얼마 전 직원들의 개인정보 3TB가 저장된 클라우드를 공공 인터넷에 고스란히 노출시키기도 했었다. 데이터가 자산이라는 인식 자체가 없기 때문에 나타나는 현상이라고 볼 수 있다.
이와 유사한 사례는 끝도 없이 나타나고 있다. 터키의 항공사인 페가수스는 클라우드에 비밀번호를 걸지 않아 6.5TB의 민감한 정보를 노출시켰다. 일본의 온라인 의료 상담 서비스인 딕터즈미(Doctors Me) 역시 스토리지를 전혀 보호하지 않음으로써 1만 2천 명에 달하는 환자들의 민감한 정보를 고스란히 노출시키기도 했었다. 이런 사례만 다 수집해도 수십 권의 책이 나올 지경이다. 이와 유사하게 설정 오류 때문에 데이터베이스가 노출되는 사례도 어마어마하게 많다.
데이터 보호의 기본 장치 중 하나는 데이터 암호화다. 중요한 데이터일수록 그냥 저장하는 게 아니라 암호화된 상태로 저장하는 게 안전하다. 이렇게 하면 설사 해커가 데이터를 훔쳐갔다고 하더라도 데이터를 활용할 수 없게 된다. 클라우드 환경에 데이터를 저장할 때 이 암호화 단계를 잊어버리는 조직들이 아직 상당히 많다. 이 역시 사용자들 편에서 저지르는 중요한 오류라고 할 수 있다.
이러한 실수들은 그 동안 꾸준히 지적되어 왔다. 하지만 잘 고쳐지지 않는 게 현실이다. 어떻게 해야 할까? 필자라고 해서 딱히 새로운 방법론을 제시할 수 있는 건 아니다. 다만 다시 한 번 이야기를 반복함으로써 기억을 되새기게 한다면 그것만으로도 충분할 것이라고 생각한다. 이 다음으로도 누군가 계속해서 같은 글을 올려주기를 기대하는 마음이다.
1. 데이터에 대한 주인정신
위에서도 말했지만 데이터는 매우 진귀하고 소중한 기업의 자산이다. 비싼 서버 장비나, 리스한 자동차 만큼 함부로 다뤄서는 안 되는 것이다. 이 사실을 마음에 새기고 또 새기는 게 중요하다. 어제 입사한 신입 사원에게 회사 자동차 키를 넘기지 않듯이, 데이터 역시 최소한으로만 공개해야 한다. 직원들끼리 마구 데이터를 퍼 나르고 공유하지도 못하게 해야 한다. 데이터를 비싼 물건 다루듯 하는 분위기를 내부적으로 조성하는 데 힘을 써보는 게 장기적으로 도움이 될 것이다.
2. 데이터 보안 문화 자체를 강화
데이터가 비싼 자산이라고 생각한다면, 데이터의 저장 및 관리 현황을 주기적으로 검사 및 평가하는 것도 당연한 일이다. 이 때 산업 혹은 국가 내 데이터 보안 규정과 표준에 의거해 검사를 제대로 하는 게 중요하다. CEO나 보안 책임자의 개인적인 기준으로 검사를 한다면, 편리하긴 하겠지만 ‘공식적’이라는 느낌이 들지는 않는다. 그러므로 시간이 지나면서 점점 그 가치가 가벼워진다. 데이터를 주기적으로 엄격하게 점검한다면 자연스럽게 보안 문화가 자리를 잡을 수 있다. 그런 분위기라면 클라우드를 사용하는 데 있어 실수가 줄어들 것이다.
3. 데이터를 제어
누구나 원하는 대로 데이터를 열람하거나 활용할 수 있게 된다는 건, 회사가 데이터에 대한 통제권한을 잃은 것과 같다고 볼 수 있다. ‘최소 권한의 원칙’을 분명하게 수립하는 게 중요하다. 어제 입사한 신입은 물론 회사의 대표까지, 누구나 자기의 역할과 직급에 맞는 데이터에만 접근할 수 있어야 한다. 이런 상황이 되어야 비로소 ‘회사가 데이터를 통제한다’는 것에 가까워질 수 있다.
4. 비정상적인 트래픽은 최대한 빨리 찾아내 제거
클라우드 데이터 보안은 결국 기업 전체 보안 능력과 관련이 깊은 영역이다. 다른 데이터는 함부로 다루면서 클라우드만 안전하게 지킨다는 건 불가능하다. 클라우드건 어디건, 회사의 네트워크 안에서 발생하는 이상한 행동과 패턴들을 최대한 빨리 발견하여 제거할 수 있는 능력을 갖추면 자연스럽게 클라우드 데이터도 더 안전하게 된다. 실수가 있더라도 피해를 최소화 할 수 있다.
글 : 개드 로젠탈(Gad Rosenthal), 제품 관리자, Eureka Security
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)