보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

클라우드 컴퓨팅 환경 침해사고 분석

2021.08.25

25,510


 

 

 

 

01. 개요

 

코로나19로 촉발된 전례없는 경기침체와 국내∙외 비즈니스 환경의 불안정성은 산업전반에 영향을 미치고 있다. 특히 비대면 수요 급증이 디지털경제전환의 가속화를 이끌면서 경제∙사회 구조의 대전환을 맞이하게 되었다. 디지털전환의 패러다임은 유연한 비즈니스 운영을 위한 IT인프라 운영방식에도 영향을 미치고 있다. 소비자 및 고객에게 제공되는 서비스를 운영하기 위한 서버, 네트워크, 스토리지 등의 IT인프라를 직접 구성하는 온프레미스(On-premise)환경을 벗어나, 필요한 만큼 즉시 사용 가능한 자원에 대한 비용을 지불하는 클라우드 전환이 가속화되는 것이다.

 

온프레미스 환경에서 클라우드 환경으로 변화하는 이유에 대해서는 크게 편의성과 유연성, 경제성 등이 있다. 클라우드 서비스 환경은 온프레미스 환경처럼 도입된 정보자산들을 구축하기 위한 물리적 설치공간이 필요하지 않고 사용자가 원하는 만큼 정보자산의 증설과 감소가 수월하며, 정보자산 운영에 필요한 시간에만 구동하여 불필요하게 소요되는 비용절감 효과를 볼 수 있다. 

 

하지만 변화되고 있는 클라우드 컴퓨팅 환경에서도 기존의 온프레미스 환경과 유사한 보안사고가 발생하고 있다. 2018년 11월에는 AWS에 서울 지역(Region)에서 EC2 인스턴스가 내부 DNS 서버 설정 오류로 인하여 84분간 DNS 기능을 사용할 수 없는 사고가 발생하거나 2019년 미국의 대형 은행인 Capital One에서는 AWS(Amazon Web Service)에 저장된 고객 개인정보 유출 사고가 발생하는 등 기업이 운영하는 서비스 환경이 달라졌을 뿐 보안사고는 여전히 발생하고 있다.

 

이처럼 클라우드 컴퓨팅 환경에서도 보안사고가 빈번하게 발생하고 있으며 사고를 예방하거나 처리하기 위해서 클라우드 서비스 제공업체들과 사용자들은 어떻게 대처해야 하는지 이번 호에서 설명하고자 한다. 

 

 

02. 클라우드 서비스의 공유 책임 모델과 보안 인증 제도

 

1) 클라우드  환경에  공유 책임 모델

 

클라우드 서비스는 사용자가 원하는 서비스 유형을 선택하고, 제공자가 어떤 서비스 모델을 제공하는지에 따라 서비스 배포 모델과 서비스 모델로 구분되어 진다.

 

클라우드 서비스 배포 모델은 퍼블릭 클라우드, 커뮤니티 클라우드, 프라이빗 클라우드, 하이브리드 클라우드 등 4가지로 구분된다. 그리고 클라우드 서비스 모델은 IaaS(Infrastructure-as-a-Service), PaaS(Platform-as-a-Service), SaaS(Software-as-a-Service)로 나뉠 수 있으며, 최근에는 사용자가 서버를 직접 관리할 필요가 없는 서버리스(Serverless) 모델인 FaaS(Function-as-a-Service)와 BaaS(Backend-as-a-Service) 서비스 모델이 존재한다.

 

이러한 클라우드 서비스 모델들은 제공업체가 관리해야 하는 자원들과 사용자가 관리해야 하는 자원들이 구분되고 구분된 자원들에 따라 정보보호 관리모델 주체가 나뉘어 지는데 이를 “공유 책임 모델(Shared Responsibility Model)”이라고 한다. 사용자가 관리해야 하는 자원이 많은 서비스 유형은 IaaS로 OS, 미들웨어, 애플리케이션 및 데이터와 같은 자원들을 관리 해야 하며 클라우드 제공업체가 관리 해야 하는 자원이 가장 많은 서비스 유형은 SaaS로써 제공업체는 클라우드 서비스에서 제공하고 있는 다수의 서비스에 대하여 관리주체가 된다.

 

구분

IaaS

(Infrastructure-as-a-Service)

PaaS

(Platform-as-a-Service)

SaaS

(Software-as-a-Service)

특징

• 확장성이 높고 자동화된 컴퓨팅 리소스를 가상화하여 제공
• 고객에게 서버, 네트워크, OS, 스토리지를 가상화하여 제공하고 관리
• 서비스는 주로 응용 프로그램을 개발할 때 필요한 플랫폼을 제공
• 고객에게 OS, 미들웨어, 런타임과 같은 소프트웨어 작성을 위한 플랫폼을 가상화하여 제공하고 관리
• 사용자에게 제공되는 소프트웨어를 가상화하여 제공
• 고객을 대신하여 소프트웨어와 데이터를 제공하고 관리

관리주체

제공
업체

서버, 네트워킹, 가상화 및 스토리지를 관리

서버, 네트워킹, 가상화 및 스토리지, OS, 미들웨어와 같은 자원 관리

서버, 네트워킹, 가상화 및 스토리지 뿐만 아니라 OS, 미들웨어, 애플리케이션 및 데이터와 같은 자원 관리

사용자

OS, 미들웨어, 애플리케이션 및 데이터와 같은 자원들을 관리

데이터, 애플케이션 관리

-

 

[표 1] 클라우드  서비스 모델 특징

 

 

2) 클라우드  보안 인증 제도

 

클라우드 서비스 제공업체와 서비스를 이용하는 사용자들은 클라우드 환경 속에서 이용 중인 정보자산을 안전하게 관리하고 운영하기 위해 인증기관이 평가〮인증하는 클라우드 보안 인증제도가 있다.

 

클라우드 보안 인증제도는 국제 인증제도와 국내 인증제도가 존재한다. 국내에는 클라우드 서비스 제공업체가 제공하는 서비스에 대해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 클라우드 보안인증제가 있으며 해당 인증기준은 IaaS 인증과 SaaS 표준등급, SaaS 간편등급 인증에 따라 각 통제항목으로 구성되어 있다. 

 

구분

적용 대상

특징

클라우드 서비스 보안인증제

(CSAP)

클라우드 서비스 제공자

(IaaS, SaaS)

• 공공기관에 클라우드 서비스를 제공하고자 하는 민간 클라우드 사업자는 의무
• 금융분야 클라우드 서비스 자체 평가 시 클라우드 서비스 보안인증제 항목 + 금융부문 추가 보호조치적용
• 서비스 유형에 따른 통제항목 구성

 - IaaS 인증 : 14개 분야 117개 항목

 - SaaS 표준등급 : 13개 분야, 78개 항목

 - SaaS 간편등급 : 11개 분야, 30개 항목

 

[표 2] 국내 클라우드 보안 인증 제도 (출처 : 클라우드 보안인증제)

 

 

 

또한 국제 인증제도로는 ISO 27017/27018과 CSA STAR 등이 존재한다. 국제 인증제도들은 국내의 인증제도인 클라우드 보안인증제와 다르게 클라우드 서비스 제공업체뿐만 아니라 이용자가 적용 대상에 포함되는 것이 특징이다. 

 

 

구분

적용 대상

특징

ISO 27017

클라우드 서비스 제공자 및 이용자

(IaaS, PaaS, SaaS)

• 클라우드 정보보호를 위해 ISO 27002클라우드 서비스에 특화된 구현 지침과 통제 항목 7개를 추가
• 14개 영역 114개 항목으로 구성

ISO 27018

클라우드 서비스 제공자 및 이용자

(IaaS, PaaS, SaaS)

• ISO 27002에서 규정한 제어장치에 대한 11가지 구현 지침을 보완한 가이드를 제공
• 14개 영역 114개 항목으로 구성

CSA STAR

클라우드 서비스 제공자 및 이용자

(IaaS, PaaS, SaaS)

• 1단계 자가 진단, 2단계 3rdParty에서 STAR인증 성숙도 평가, 3단계 실시간 모니터링 모델 구현의 순서로 진행
• IaaS, PaaS, Saas 사업자별 항목 명시
• 16개 영역 133개 항목으로 구성

 

[표 3] 국제 클라우드 보안 인증 제도

 

 

클라우드 보안 인증제도는 기업의 정보보호 활동을 체계적으로 수행할 수 있도록 하며 정보보호 사고를 예방하고 피해를 최소화할 수 있다. 하지만 이러한 인증제도를 도입하지 않거나 일부분만 규정하고 사용할 경우, 사용자가 아무리 조심하고 예방하더라도 보안사고는 발생하게 된다. 

 

이러한 보안사고에 대처하기 위하여 국내 보안 인증 제도에서는 보안사고를 대비하고, 사고가 발생할 경우 어떻게 행동하고 있는지에 대하여 통제구분 “5. 침해사고 관리” 으로 접목할 수 있으며 국제 인증 제도(ISO 27017)에서는 통제항목 “16. 정보보호 사고 관리” 에서도 확인할 수 있다.

  

인증제도

통제 분야

통제 항목

인증 유형

IaaS

SaaS
표준

SaaS
간편

클라우드 서비스 보안인증제

(CSAP)

5. 침해사고 관리

5.1. 침해사고 절차 및 체계

5.1.1 침해사고 대응 절차 수립

5.1.2 침해사고 대응 체계 구축

-

5.1.3 침해사고 대응 훈련 및 점검

-

5.2. 침해사고 대응

5.2.1 침해사고 보고

5.2.2 침해사고 처리 및 복구

-

5.3. 사후관리

5.3.1 침해사고 분석 및 공유

-

5.3.2 재발방지

-

 

IaaS

PaaS

SaaS

ISO 27017

16. 정보보호 사고 관리

16.1. 정보보호 사고 관리 및 개선

16.1.1. 책임 및 절차

16.1.2. 정보 보안 사건 보고

16.1.3. 정보 보안 취약점 보고

16.1.4. 정보 보안 사건에 대한 평가 및 결정

16.1.5. 정보보안사고 대응

16.1.6. 정보 보안 사고 학습

16.1.7. 증거 수집

 

[표 4] 클라우드 보안 인증제도 보안사고 관련 통제분야

 

 

03. 클라우드 침해사고 분석 단계

 

1) 사고 전 준비 단계(Incident Response Preparations)

 

보안사고가 발생할 경우 신속하게 대처하기 위해서 침해사고 대응 절차 수립이 필수적이다. 일반적으로 침해사고 대응 절차는 사고 전 준비 단계, 사고탐지 및 식별, 증거수집 및 분석, 보고서 작성으로 온프레미스 환경과 클라우드 환경이 동일하다고 볼 수 있다. 다만, 클라우드 환경에서는 클라우드 서비스의 어떠한 기술들을 사용하냐에 따라 데이터 수집 및 분석의 가능여부를 확인할 수 있다.

 

클라우드 컴퓨팅 서비스 제공업체는 다양한 기술 요소들이 요구되고 있다. 그 중 필수적으로 가상화 기술이 요구되고 있으며 대용량 데이터를 분산 처리하거나 저장, 관리할 수 있는 기술, 네트워크 환경을 통해 서비스를 이용하고 정보 공유를 지원하는 인터페이스 기술, 그리고 민감한 정보를 외부 환경에 안전하게 보호하거나 보관할 수 있는 기술 등이 요구된다.

 

구성요소

기술 요소

가상화 기술

Resource Pool, Hypervisor(서버 가상화), Partition Mobility, VLAN, 스토리지 가상화 등

대규모 분산처리

분산 데이터 저장 기술(CODA, Andrew, Apache, Hbase HyperTable )

오픈 인터페이스

SOA, Open API, Web Service

서비스 프로비저닝

클러스터 관리 기술, 프로비저링 및 스케줄링 등

자원 유틸리티

사용량 측정, 과금, 사용자 계정 관리 등

보안 및 개인정보 관리

플랫폼 보안 기술(DAC, MAC, RBAC ), 네트워크 보안 기술(SSL, IPSEC, VPN). 단말 보안 기술(TPM, CryptoCell )

 

[표 5] 클라우드 컴퓨팅 기술요소 (출처 : KOCCA)

 

 

침해사고가 발생하기 전 사용자는 침해사고 유형과 침해사고 정의, 클라우드 보안 위협 등에 대하여 정리할 필요가 있다. 침해사고는 일반적으로 정보시스템을 사용하고 있는 어느 곳에서 비인가자 무단접근, 정보자산 유출, 악성 프로그램 유포 등의 보안사고가 발생할 수 있다. 마찬가지로 클라우드 컴퓨팅 환경에서 사용자는 클라우드 서비스를 이용하는 과정에서 사용자 관련 정보가 제 3자의 악의적인 침입 또는 클라우드 서비스 제공자∙이용자의 보안관리 이슈, 다양한 단말기 접속 등 다양한 보안 위협들이 발생할 수 있다. 

 

이러한 클라우드 보안 위협들은 클라우드 컴퓨팅을 사용하는 수많은 이용자들이 대용량의 인프라를 공유하고, 데이터를 중앙집중식으로 관리 및 접근하기 때문에 발생하게 된다. 클라우드 보안 위협들은 클라우드 보안 협회(Cloud Security Alliance, CSA)에서 2년마다 클라우드 서비스를 사용하는 업계종사자들 대상으로 설문조사를 받아 2010년부터 지속적으로 발표하고 있으며, 발표한 자료에 따르면 클라우드 서비스 이용이 증가함에 따라 관리적∙기술적 보안 위협들의 범위도 점차적으로 늘어나고 있다. 

 

  

 

[그림 1] 클라우드 보안 위협 요소 (출처 : Cloud Security Alliance 보안 위협 재구성)

 

 

위와 같은 보안 위협들에 대비하기 위해서 클라우드 사용자는 보안설정 적용도 중요하지만 사용하고 있는 주요 시스템 로깅과 이상징후 모니터링을 진행해야 한다. 클라우드 제공업체들은 자체적으로 로깅과 모니터링 서비스를 제공되고 있으며 클라우드 시장 점유율이 가장 높은 AWS에서는 AWS CloudTrail 서비스와 AWS CloudWatch 서비스가 주로 사용된다.

 

AWS CloudWatch는 AWS 리소스 및 애플리케이션에 대한 모니터링 서비스이며, AWS CloudTrail는 AWS 관리 콘솔, AWS SDK Command line 도구와 기타 AWS 서비스로 실행된 것을 포함한 모든 API 호출 관련 AWS 계정 활동을 기록하고 모니터링 할 수 있다. 주요 시스템 로깅과 모니터링을 원활하게 하기 위해서는 제공된 서비스의 디폴트 설정이 아닌 보안설정들을 변경해야만 비인가 행위나 침해시도를 탐지할 수 있다.

 

 

 

 

[그림 2] AWS CloudTrail Architecture (출처 : Amazon Web Service)

 

 

보안설정 변경 중 첫 번째로는 모든 지역(Region)에 대하여 CloudTrail과 AWS Config를 활성화해야 한다. CloudTrail은 AWS의 모든 API 호출에 대한 이력을 남기고 있고, AWS Config는 서비스 설정 변경에 대한 내역을 저장하고 있기 때문에 모든 지역에서 호출되거나 작업한 이력을 로깅해야 한다. 

두 번째로 CloudTrail의 로그 파일을 저장하는 S3 Bucket에 대해서 비인가 사용자가 접근하지 못하도록 변경해야 하며 마지막으로 CloudTrail 로그 파일이 변조되지 않도록 유효성 검사를 활성화해야 하고 저장되는 로그들은 암호화하여 저장하도록 설정해야 한다.

 

Category

보안 권고 설정

설명

Logging

모든 지역(Region)

CloudTrail활성화 한다

CloudTrailAWS의 모든 API 호출에 대한

모든 이력을 남기도록 설정한다.

CloudTrail 로그 파일

유효성 검사를 활성화 한다

로그 파일의 무결성 확인을 위해

유효성 검사를 활성화해야 한다.

CloudTrail log저장하는

S3 Bucket에 대해 Public 접근이 불가능하도록 설정한다

저장된 로그 무결성 및 기밀성을 위해

Public 권한이

주어지지 않도록 설정한다.

모든 지역(Region)

AWS Config활성화 한다

AWS Config는 서비스의 설정 변경에 대한 내역을

보관하고 있으며 감사 및 이슈 분석을 위해 보관해야 한다.

CloudTrail 로그를 저장한

S3 Bucket에 대해 Access logEnable한다

Trail log 데이터에 대한 접근 이력 확인을 위해

Access log 활용한다.

CloudTrailTrail

CloudWatch log

연계되도록 한다.

Trail의 로그는 CloudWatch와 같은 모니터링 툴을 통해 모니터링되어야 하며, SIEM에서 관련 사항에 대해 모니터링하는 경우 해당 설정을 적용하지 는다.

KMS CMK를 사용하여

CloudTrail 로그를 저장할 때

암호화하여 저장한다.

CloudTrail 로그는 SSE(서버 측 암호화) KMS CMK(고객 생성 마스터 키)를 활용하여 CloudTrail 로그를 추가로 보호하도록 구성할 수 있으므로 SSE-KMS를 사용하도록 CloudTrail을 구성해야 한다.

 

[표 6] AWS 서비스 주요 로깅 설정 체크 항목(출처 : CIS Benchmarks)

 

 

보안설정을 적용하였다면 주요 이벤트 항목에 대하여 모니터링을 진행해야 한다. 모니터링은 앞서 설명한 AWS CloudTrail과 CloudWatch 서비스를 활용하여 확인할 수 있다. 서비스마다  기록되는 이벤트가 존재하지만 주로 “비인가 사용자에 의한 API 호출에 대한 알람”, “root 계정 모니터링”, “IAM Policy 변경에 대한 정보 알람”, “AWS 콘솔 접속 실패에 대한 알람” 등과 같은 최고권한의 계정 접속 시도나 정책 변경과 같은 이벤트를 확인해야 하며 그 이외에 모니터링 권고 항목은 아래와 같다.

 

 

 

 

[그림 3] AWS CloudWatch 서비스 이벤트 항목 

 

 

Category

모니터링 권고 사항

설명

Monitoring

비인가 API 호출에 대한 정보 수집 및 알람

빈번한 비인가 API 호출은 악의적인 접근 시도로 간주될 수 있으므로 임계점을 설정하여 담당자에게 알린다.

MFA를 사용하지 않은 AWS 콘솔 로그인에 대한 정보 수집 및 알람

AWS 콘솔 로그인 시 추가 인증(MFA)을 사용하도록 권고하고

‘root’ 계정의 사용에 대한 정보 수집 및 알람

일반적인 업무에서 ‘root’ 계정 사용을 권고하지 않으므로 ‘root’ 계정의 사용에 대해 모니터링 필요하다.

IAM Policy 변경에 대한 정보 수집 및 알람

IAM Policy 변경으로 사용자의 접근 권한이 달라질 수 있으므로 정책 변경에 대한 모니터링 필요하다.

CloudTrail 설정 변경에 대한 정보 수집 및 알람

CloudTrail은 전체 API호출에 대한 중요 로그데이터로 비활성화되지 않도록 모니터링 필요하다.

AWS 콘솔 접속 실패에 대한 정보 수집 및 알람

비인가 콘솔 접속 실패의 발생 횟수에 따른 알람 및 확인 조치 필요하다.

S3 bucket 정책의 변경에 대한 정보 수집 및 알람

S3 정책 변경 시, 데이터 접근 권한이 달라질 수 있으므로 이에 대한 확인 필요하다.

AWS Config 설정 변경에 대한 정보 수집 및 알람

AWS Config 설정 변경으로 인해 AWS 서비스의 변경내역이 항상 수집될 수 있도록 모니터링 필요하다.

Security group 변경에 대한 정보 수집 및 알람

네트워크 접근 정책의 변경 모니터링이 필요하다.

 

[표 7] AWS 서비스 주요 모니터링 체크 항목 (출처 : CIS Benchmarks)

 

 

2) 사고탐지 및 식별(Incident Detection and Identification)

 

침해사고 탐지는 시스템 및 네트워크 사용자, 관리자에 의해 탐지되며 침입탐지 시스템, 방화벽과 같은 보안장비에 의해서도 그 세부 기록들을 확인할 수 있으며 클라우드 컴퓨팅 환경도 동일하다. 다만 클라우드 컴퓨팅 환경은 중앙집중식으로 관리 및 접근하기 때문에 공격대상이 서버뿐만 아니라 클라우드 서비스를 이용하기 위해 접근하는 계정에 대하여도 확인해야 한다.

 

클라우드 서비스를 제공하는 공급업체들은 보안장비 이외에도 자체적으로 로그들을 기록하는 서비스가 제공된다. 대표적으로 국내외에서 가장 많이 사용되는 클라우드 서비스인 AWS(Amazon Web Service)에서는 AWS CloudTrail과 CloudWatch 서비스가 제공되는데 해당 서비스에 기록되어 있는 로그들을 활용하여 침해사고 이상징후를 탐지할 수 있다. 

 

 

침해사고  이상증후

Service

AWS CloudTrail EventName(API)

여러 번의 로그인 실패

유휴 상태 및 디폴트 계정의 로그인 시도

Event

ConsoleLogin

관리자가 생성하지 않은 계정 발견

IAM

CreateUser

설명할 수 없는 권한 변경

IAM

DeleteRolePolicy

DeleteUserPolicy

PutGroupPolicy

PutRolePolicy

PutUserPolicy

로그 파일내용의 삭제

CloudTrail

DeleteTrail

CloudWatch

DeleteLogStream

DeleteLogGroup

EC2

DeleteFlowLogs

서비스 미 제공시간 동안의 시스템 활동

EC2

RunInstances

StartInstances

 

[표 8] AWS CloudTrail EventName

 

 

3) 증거수집 및 분석(Evidence Collection and Analysis) 및 보고서 작성(Reporting)

 

클라우드 컴퓨팅 환경에서 침해사고 의심증후가 발견된 경우, 이와 관련된 로그들을 수집하고 가상 환경들을 작동 중지하거나 별도로 보존하여야 한다. 만약 클라우드 서비스 로그들과 피해시스템인 가상환경을 보존하지 않고 그대로 작동하게 된다면 피해 규모나 정확한 사고원인을 분석하기 어렵고 2차, 3차 공격경로로 악용되어 사용자가 이용하는 서비스에 문제가 발생할 가능성이 높다. 

 

클라우드 환경에서 운영 중인 정보시스템(서버, 데이터베이스, 보안장비 등)들은 가상환경에서 동작하고 있다. 그렇기 때문에 동작중인 가상환경을 보존하기 위해서는 일시중지하거나 Export 기능을 통해 가상이미지로 변환시켜 데이터가 변질되지 않도록 보존해야 한다. 

 

AWS CloudTrail는 사용자가 이용한 클라우드 서비스 로그를 저장하고 있다. 해당 서비스에서 확인할 수 있는 세부정보는 시간, 사용자, 이벤트이름, 소스IP 주소 등의 정보를 확인할 수 있으며, 지난 90일 동안의 관리 이벤트가 기록이 되기 때문에 90일이 지난 로그는 별도의 백업을 진행하지 않았다면 확인할 수 없다. 그렇기 때문에 별도의 백업 장비를 구축하지 않았다면 AWS CloudTrail 자체 기능인 내려받기를 통해 이상징후 시점의 로그들을 보관해야 한다.

 

 

 

 

[그림 4] AWS CloudTrail Logging 세부 정보

 

 

 

 

[그림 5] AWS CloudTrail Logging 세부 정보

 

 

마지막으로 이상증후가 발견된 시점 전후로 수집∙보관된 로그들과 환경 대상으로 분석을 진행한 후 보고서를 작성해야 한다. 보고서 작성은 온프레미스 환경의 침해사고 보고서와 동일한 형태로 작성이 되며, 클라우드 컴퓨팅 환경에서만 확인할 수 있는 내용을 확인하여 사실관계 중심으로 작성한다.

 

 

04. 결론

 

클라우드 컴퓨팅 환경으로의 변화는 게임, 미디어 산업 기업을 넘어서 일반 기업들과 의료계, 그리고 금융권 산업까지 확대되고 있다. 클라우드 컴퓨팅의 도입은 단순히 물리적인 공간, 초기 설치 비용만을 고려하여 도입하는 것이 아니라 왜 클라우드를 도입해야 하며 어느 부분까지 적용해야 하는지 고민하고 정확한 목표와 방향성을 설정하는 것이 중요하며 그에 따른 관리적, 물리적, 기술적 대책 방안들을 마련해야 한다. 

 

 

구분

조치 사항

관리적

대책

정보보호 전담조직을 구성하고 정보보호 최고책임자를 임명

정보보호 정책 및 정책 시행문서의 이력관리 절차를 수립

클라우드 서비스 도입에 따른 관련 법 규정의 위배사항 발생여부를 파악하고 처리

클라우드 컴퓨팅 서비스의 운영, 개발 등 관련 임직원을 주요 직무자로 지정하여 관리

클라우드 컴퓨팅 서비스에 사용된 자산의 변경이 필요한 경우 보안 영향 평가를 통해 변경

운영 중인 클라우드 컴퓨팅 서비스가 네트워크 장애로 중단되지 않도록 지속적으로 모니터링 실시

침해사고 절차 수립 및 발견된 취약점을 관련 조직 및 임직원과 공유하여 처리

물리적

대책

중요 정보 및 정보처리시설을 보호하기 위하여 보안 구역 지정

물리적 보안 구역에 인가된 자만이 접근

보안구역에 출입 및 접근 이력을 주기적으로 검토

외부장비 반출입 절차를 수립하고 기록 및 관리

기술적

대책

가상 자원에 변경(수정, 이동, 삭제, 복사)에 대해 모니터링 실시

PC, 무선 단말기 등 클라우드 서비스에 접속하는 IT 자원을 안전하게 관리

클라우드 시스템 접근에 대한 사용자 인증, 로그인 횟수 제한, 사용자 권한 구분 보안설정 적용

개인정보, 기업의 중요 정보는 사전에 암호화하여 저장하여 관리

시스템 계정 관리는 안전한 패스워드 설정 규칙을 적용하여 주기적으로 변경

클라우드 서비스 장애 시 정보손실 대비하여 중요 정보는 정기적으로 백업하기

 

[표 9] 클라우드 정보보호 관리적〮물리적〮기술적 대응방안

 

 

최근까지 클라우드 보안사고는 클라우드 사용자의 관리 미흡으로 발생하고 있으며 대표적으로 클라우드 환경에 접속할 수 있는 계정 권한 설정이나 방화벽과 같은 보안장비의 잘못된 설정 등이 있다. 클라우드 환경을 제공하는 업체들이 다양한 보안 기능과 서비스를 제공하더라도 이를 사용자가 잘 활용하지 못한다면 빛 좋은 개살구이기 때문에 사용자는 제공되는 보안 기능과 서비스를 적절히 활용하여 보안사고가 발생하지 않도록 노력해야 할 것이다.

 

 

05. 참고자료

 

[1] 클라우드 보안 체계 수립 및 보안 모니터링 방안

(https://blog.lgcns.com/2134?category=604440)

 

[2] Global cloud services market Q1 2021

(https://www.canalys.com/newsroom/global-cloud-market-Q121?ctid=2048-939228c2c091da7d8a36c60eb59020ec)

 

[3] 클라우드 정보보호 안내서

(https://www.cisp.or.kr/wp-content/uploads/2019/12/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8-%EC%95%88%EB%82%B4%EC%84%9C-KISA-2017.pdf)

 

[4] Amazon Web Services:Overview of Security Processes 

(https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)

 

[5] 클라우드컴퓨팅서비스 정보보호에 관한 기준

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C%EC%BB%B4%ED%93%A8%ED%8C%85%EC%84%9C%EB%B9%84%EC%8A%A4%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%97%90%EA%B4%80%ED%95%9C%EA%B8%B0%EC%A4%80

 

[6] CIS Amazon Web Services Foundations

(https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)