Offcanvas

CSPM

‘클라우드 보안’에 영향을 미치는 3가지 위험 요소

많은 기업이 클라우드 솔루션으로 전환하고 있다. 이에 따라 CIO는 취약점 모니터링 방법을 재고하고 현대적인 보안 태세를 갖춰야 한다.  ‘클라우드 전환’으로 인해 많은 CIO가 ‘보안’에 관한 생각을 바꾸게 됐다. 보안 인프라 책임의 상당 부분이 클라우드 벤더로 아웃소싱됐기 때문에 CIO는 구성이 적절한지, 데이터가 실수로 유출되진 않는지 등 더 높은 수준의 스택에 초점을 맞춰야 한다. 여기서는 인프라를 무방비하게 노출시킬 가능성이 있는 3가지 위험 요소를 살펴본다.    1. 새로운 코드 및 기능의 과도한 도입 새 코드를 딜리버리하라고 개발자를 압박하고 있는가? 기능과 코드를 내보내는 데만 열을 올리면 개발자가 의도치 않게 구성 드리프트를 일으킬 수 있다. 예를 들어 개발자가 새 코드를 테스트하고 수동으로 구성하기 위해 새로운 가상머신(VM)을 계속 생성한다면 오류 발생 가능성이 크다. 새로운 앱 기능을 지원하는 추가 통신 포트를 여는 등 프로덕션 코드를 정기적으로 조금씩 변경하는 개발자는 수정이 필요할 때마다 관리자 권한을 얻는 데 시간이 오래 걸리는 프로세스를 피하기 위해 우회하는 방법을 만드는 경우가 많다.  2. 애플리케이션의 상호연결성 증가 서드파티 또는 앱 구성요소 간 연결이 많을수록 설정 오류가 발생할 가능성이 크다. 일반적인 API 오류에는 객체 수준, 사용자 수준, 기능 수준에서의 취약한 인증이 포함된다. 너무 많은 API 정보를 노출하는 것은 해커에게 코드 해독법 단서를 쥐여주는 것과 다를 바 없다. 단일 컨테이너의 의도치 않은 취약점으로 해커가 전체 소프트웨어 스택에 액세스할 수 있다는 점에서 클라우드 네이티브 컨테이너형 앱도 위협이 될 수 있다.  3. 복잡한 클라우드 인프라  클라우드 아키텍처의 복잡성은 구성 오류에 상당한 영향을 미친다. 단일 테넌트 클라우드는 아무도 같은 시스템에 코드를 가지고 있지 않기 때문에 위험이 제한적이다. 단, 시스템이 올바르게 설정돼 있는지 ...

클라우드 보안 클라우드 보안 CSPM

2022.03.22

많은 기업이 클라우드 솔루션으로 전환하고 있다. 이에 따라 CIO는 취약점 모니터링 방법을 재고하고 현대적인 보안 태세를 갖춰야 한다.  ‘클라우드 전환’으로 인해 많은 CIO가 ‘보안’에 관한 생각을 바꾸게 됐다. 보안 인프라 책임의 상당 부분이 클라우드 벤더로 아웃소싱됐기 때문에 CIO는 구성이 적절한지, 데이터가 실수로 유출되진 않는지 등 더 높은 수준의 스택에 초점을 맞춰야 한다. 여기서는 인프라를 무방비하게 노출시킬 가능성이 있는 3가지 위험 요소를 살펴본다.    1. 새로운 코드 및 기능의 과도한 도입 새 코드를 딜리버리하라고 개발자를 압박하고 있는가? 기능과 코드를 내보내는 데만 열을 올리면 개발자가 의도치 않게 구성 드리프트를 일으킬 수 있다. 예를 들어 개발자가 새 코드를 테스트하고 수동으로 구성하기 위해 새로운 가상머신(VM)을 계속 생성한다면 오류 발생 가능성이 크다. 새로운 앱 기능을 지원하는 추가 통신 포트를 여는 등 프로덕션 코드를 정기적으로 조금씩 변경하는 개발자는 수정이 필요할 때마다 관리자 권한을 얻는 데 시간이 오래 걸리는 프로세스를 피하기 위해 우회하는 방법을 만드는 경우가 많다.  2. 애플리케이션의 상호연결성 증가 서드파티 또는 앱 구성요소 간 연결이 많을수록 설정 오류가 발생할 가능성이 크다. 일반적인 API 오류에는 객체 수준, 사용자 수준, 기능 수준에서의 취약한 인증이 포함된다. 너무 많은 API 정보를 노출하는 것은 해커에게 코드 해독법 단서를 쥐여주는 것과 다를 바 없다. 단일 컨테이너의 의도치 않은 취약점으로 해커가 전체 소프트웨어 스택에 액세스할 수 있다는 점에서 클라우드 네이티브 컨테이너형 앱도 위협이 될 수 있다.  3. 복잡한 클라우드 인프라  클라우드 아키텍처의 복잡성은 구성 오류에 상당한 영향을 미친다. 단일 테넌트 클라우드는 아무도 같은 시스템에 코드를 가지고 있지 않기 때문에 위험이 제한적이다. 단, 시스템이 올바르게 설정돼 있는지 ...

2022.03.22

"'클라우드 보안 형상 관리' 시장, 2026년까지 연평균 14.4% 성장"

클라우드 보안 형상 관리(CSPM;Cloud Security Posture Management) 시장이 2026년까지 14.4%의 연평균 복합성장률(CAGR;Compound Annual Growth Rate)을 기록한다는 전망이다. 2020년 40억 달러이던 시장 규모는 2026년이 되면 90억 달러에 이를 것으로 예측됐다. 클라우드 기반 솔루션과 서비스가 증가하면서, 클라우드 인프라에 대한 보안 솔루션에 대한 수요 역시 증가할 것으로 예상되기 때문이다. 마켓앤마켓이 '2026년까지 클라우드 보안 형상 관리 시장 전망(Cloud Security Posture Management Market by Component - Global Forecast to 2026)'을 발표했다. 보고서는 CSPM 시장을 솔루션과 서비스로 분류한 구성 요소, IaaS와 SaaS로 구분한 클라우드 모델, 그리고 의료, 소매 및 무역, IT 및 통신 등으로 나눈 수직 시장 등으로 나누어 분석했다. CSPM 시장이 2020년 40억 달러에서 2026년 90억 달러로, 연평균 14.4%로 성장할 전망이다. 마켓앤마켓은 클라우드 인프라가 다양한 분야로 확산하면서, 클라우드 시스템과 솔루션에 대한 보안 수요가 증가할 것으로 예측했다. (자료 : MarketandMarket) 보고서는 "클라우드 구성 오류로 인한 보안 침해 사례가 증가하고, 클라우드 인프라의 보안 위반 위험을 줄이기 위한 보안 도구 및 프로세스가 부족하다"고 밝히고, 이를 예방하고 관리하기 위한 CSPM 솔루션이 주목을 받으면서 성장 기회를 얻을 것으로 얻을 것으로 예상했다. CSPM은 IAM(Identity and Access Management)부터, 스토리지, 네트워크 등 다양한 클라우드 구성 요소에 대한 보안 위협을 모니터하고 관리한다. 클라우드에서 보안 위협과 침해 사례가 증가하는 요인으로는, 잘못된 클라우드 시스템 구성과 데브옵스(DevOps) 형태의 개발 환경을 꼽았다. 복잡하고 단편화된 하이브리드 클라우...

클라우드 보안 태세 관리 마켓앤마켓 CSPM 클라우드 보안 형상 관리

2021.02.23

클라우드 보안 형상 관리(CSPM;Cloud Security Posture Management) 시장이 2026년까지 14.4%의 연평균 복합성장률(CAGR;Compound Annual Growth Rate)을 기록한다는 전망이다. 2020년 40억 달러이던 시장 규모는 2026년이 되면 90억 달러에 이를 것으로 예측됐다. 클라우드 기반 솔루션과 서비스가 증가하면서, 클라우드 인프라에 대한 보안 솔루션에 대한 수요 역시 증가할 것으로 예상되기 때문이다. 마켓앤마켓이 '2026년까지 클라우드 보안 형상 관리 시장 전망(Cloud Security Posture Management Market by Component - Global Forecast to 2026)'을 발표했다. 보고서는 CSPM 시장을 솔루션과 서비스로 분류한 구성 요소, IaaS와 SaaS로 구분한 클라우드 모델, 그리고 의료, 소매 및 무역, IT 및 통신 등으로 나눈 수직 시장 등으로 나누어 분석했다. CSPM 시장이 2020년 40억 달러에서 2026년 90억 달러로, 연평균 14.4%로 성장할 전망이다. 마켓앤마켓은 클라우드 인프라가 다양한 분야로 확산하면서, 클라우드 시스템과 솔루션에 대한 보안 수요가 증가할 것으로 예측했다. (자료 : MarketandMarket) 보고서는 "클라우드 구성 오류로 인한 보안 침해 사례가 증가하고, 클라우드 인프라의 보안 위반 위험을 줄이기 위한 보안 도구 및 프로세스가 부족하다"고 밝히고, 이를 예방하고 관리하기 위한 CSPM 솔루션이 주목을 받으면서 성장 기회를 얻을 것으로 얻을 것으로 예상했다. CSPM은 IAM(Identity and Access Management)부터, 스토리지, 네트워크 등 다양한 클라우드 구성 요소에 대한 보안 위협을 모니터하고 관리한다. 클라우드에서 보안 위협과 침해 사례가 증가하는 요인으로는, 잘못된 클라우드 시스템 구성과 데브옵스(DevOps) 형태의 개발 환경을 꼽았다. 복잡하고 단편화된 하이브리드 클라우...

2021.02.23

잇단 보안 침해 사건으로 주목 '클라우드 보안 형상 관리'

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

CIO 디비 클라우드 Divvy Cloud CSPM Cloud Security Posture Management CCPA GDPR 보안 침해 캐피탈원 아마존웹서비스 팔로알토 네트웍스 클라우드 보안 AWS 맥아피 가트너 클라우드 보안 형상 관리

2020.03.03

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

2020.03.03

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6