반도체 전문 온라인 매거진 - 올포칩

글/ 우청하, 센티넬원(SentinelOne) 코리아 세일즈 디렉터

이미 한국에서 많은 조직이 클라우드에 대한 의존도를 높이고 있다. 클라우드 컴퓨팅 시장은 2022년에 30억 달러에 이르렀으며 앞으로도 성장할 것으로 예상된다.

한국 기업이 클라우드를 채택하는 데는 여러 가지 이유가 있다. PC의 성능이 향상되어 대량의 데이터를 저비용으로 클라우드로 옮기는 것이 가능하게 되었다. 이로 인해 기업은 고가의 하드웨어에 대한 투자와 보안 확보, 온프레미스 서버의 안전한 가동을 위한 유지보수 직원의 유지가 필요 없게 되어 크게 지출을 억제할 수 있기 때문이다.

데이터를 저장할 위치가 온프레미스이든 클라우드라도 기업은 데이터를 보호해야 한다. 그러나 클라우드에 대한 공격자(Threat Actor)의 활동은 증가하는 경향이 있다. 클라우드 서비스 제공업체와 고객 간의 보안에 대한 책임과 어카운빌리티에 대한 혼란이 보안에 대한 인식의 격차와 데이터 노출로 이어지고 있다. 클라우드 배포에는 책임 공유 모델이 필수적이다. 서비스 제공업체는 인프라, 물리적 네트워크 및 하이퍼바이저를 보호할 책임이 있으며, 고객은 OS, 계정, 데이터 및 네트워크를 보호할 책임이 있다. 보안 전문가가 아닌 응용 프로그램이나 서비스를 개발하는 개발자에 따라 데이터를 보호하는 것은 바람직하지 않다.

위협 유형

공격자(Threat actor)는 항상 높은 가치의 정보, 표적을 노리고 있으며, 클라우드상에서 처리되는 신용카드에 저장되는 고객 데이터, 의료기관이 환자에 대해 저장하고 있는 건강 정보 등을 들 수 있다. 고객 데이터와 의료 데이터는 공격자에 의해 쉽게 암호화되고 도난당할 수 있으며 고액의 몸값을 요구할 수 있다. 반면에 신용 카드는 공격자에 의해 도난당하고 다크웹의 다른 사이버 범죄자에게 판매되며 숙련된 계획을 사용하여 신속하게 현금화된다. 

보안 팀이 보호해야 하는 몇 가지 일반적인 위협 벡터가 있다.

부적절하게 구성된 리소스

"귀하의 클라우드 환경은 클라우드 구성과 동등한 안전성을 갖추고 있는가"

구성 오류는 액세스, 공유 규칙 등을 제어하는 클라우드 애플리케이션의 설정이다. 일반적인 클라우드 설정에서는 구성 드리프트로부터 보호하기 위해 항상 모니터링해야 하는 수백 개의 구성이 있을 수 있다.

이러한 구성은 복잡하다. 각 클라우드 환경에서는 고유한 용어를 사용하므로 다목적 보안 정책을 만들 수 없다. 또한 하이브리드 또는 멀티 클라우드 환경을 사용하는 경우 서로 다른 클라우드가 함께 작동할 수 있도록 각 설정을 깊이 이해해야 한다.

예를 들어 액세스 제어와 관련된 구성 오류로 인해 정상적인 링크에 액세스할 수 있는 사람이라면 누구나 데이터베이스에 누적된 정보에 액세스할 수 있다. 과거에는 일반인이 인증 없이 스토리지 버킷에 액세스할 수 있는 경우가 여러 번 발생했다.

침해된 액세스 키 및 자격 증명

액세스 키와 자격 증명은 클라우드에 액세스할 수 있는 사용자와 사용자가 가진 시스템의 액세스 수준을 제어하는 데 사용된다. 피싱 공격이나 다른 방법으로 액세스 키가 침해되면 공격자는 의도대로 클라우드에 쉽게 액세스할 수 있다.

AI 인식 ID 보안 도구를 사용하는 보안 팀은 침해된 액세스 키를 식별하고 랜섬웨어 및 데이터 도난과 같은 주요 공격을 방지할 수 있다. 이러한 도구는 다양한 기술을 사용하여 도난당한 액세스 키를 식별한다. 경우에 따라 IP 정보를 사용하여 여러 사용자 ID로 클라우드에 액세스를 시도한 후 특정 IP 주소에서 액세스를 획득한 사용자를 식별할 수 있다. 또한 사용자가 평소보다 많은 데이터와 다른 유형의 데이터를 다운로드하는 등 비정상적인 행동을 감지할 수 있습니다.

위협이 될 수 있는 액세스가 확인되면 보안 팀은 사용자로부터 액세스를 제거하고 클라우드 보안 시스템을 더욱 강화할 수 있다.

OS 및 애플리케이션 취약점

온프레미스 서비스와 마찬가지로 클라우드 서버에는 리눅스 및 윈도우와 같은 운영 체제가 있으며 다른 OS와 마찬가지로 취약점이 있다. 이들이 악용되면, 공격자는 목표 후보를 완성하거나 에스컬레이션 및 래터럴 무브먼트와 같은 대규모 공격을 지원할 수 있다. 마찬가지로 클라우드 서비스 제공업체가 제공하는 클라우드 애플리케이션에도 악용될 수 있는 취약점(적극적으로 추적/기록되지 않음)이 있음이 알려져 있다.

따라서 클라우드 환경의 취약성 관리는 공격 대상 영역을 축소하고 클라우드 환경을 공격자(Threat actor)에게 가치가 높게 하는 대상이 되지 않도록 하는 것도 중요하다.

하이브리드 및 멀티 클라우드 위험

앞에서 언급했듯이 하이브리드 및 멀티 클라우드 설치는 클라우드 보안에 추가적인 위험 요소를 제공한다. 하이브리드 설치의 경우 온프레미스 인스턴스는 클라우드 인스턴스에 연결되지만 다중 클라우드 설치는 여러 클라우드 공급자의 서비스를 사용한다.

이러한 각 상황에서 공격자가 온프레미스 또는 클라우드 설치에 들어갈 위험이 있다. 그렇게 되면 공격자는 액세스를 확대하여 연결된 설비로 좌우로 횡단 이동할 수 있다.

클라우드 환경 보호

CNAPP는 클라우드 네이티브 애플리케이션 보호 플랫폼이다. 클라우드 위협 및 취약성의 평가, 모니터링, 탐지 및 해결을 간소화하기 위해 개발부터 프로덕션까지 클라우드의 수명 주기 전반에 걸쳐 클라우드를 명확하게 파악할 수 있다. XDR 보안 플랫폼과 마찬가지로 CNAPP는 여러 공급업체의 여러 도구가 포함된 개방형 아키텍처 플랫폼이며 최상의 조합 방식을 만들어야 한다.

CNAPPs는 클라우드 구성 오류를 식별하고 보안 관련 작업을 자동화하고 하이브리드 및 멀티 클라우드 환경을 시각화함으로써 조직이 위험을 완화하는 데 도움을 준다.