Offcanvas

보안 / 클라우드

‘클라우드 보안’에 영향을 미치는 3가지 위험 요소

2022.03.22 Anna Frazzetto  |  CIO
많은 기업이 클라우드 솔루션으로 전환하고 있다. 이에 따라 CIO는 취약점 모니터링 방법을 재고하고 현대적인 보안 태세를 갖춰야 한다. 

‘클라우드 전환’으로 인해 많은 CIO가 ‘보안’에 관한 생각을 바꾸게 됐다. 보안 인프라 책임의 상당 부분이 클라우드 벤더로 아웃소싱됐기 때문에 CIO는 구성이 적절한지, 데이터가 실수로 유출되진 않는지 등 더 높은 수준의 스택에 초점을 맞춰야 한다. 여기서는 인프라를 무방비하게 노출시킬 가능성이 있는 3가지 위험 요소를 살펴본다. 
 
ⓒGetty Images

1. 새로운 코드 및 기능의 과도한 도입
새 코드를 딜리버리하라고 개발자를 압박하고 있는가? 기능과 코드를 내보내는 데만 열을 올리면 개발자가 의도치 않게 구성 드리프트를 일으킬 수 있다. 예를 들어 개발자가 새 코드를 테스트하고 수동으로 구성하기 위해 새로운 가상머신(VM)을 계속 생성한다면 오류 발생 가능성이 크다. 새로운 앱 기능을 지원하는 추가 통신 포트를 여는 등 프로덕션 코드를 정기적으로 조금씩 변경하는 개발자는 수정이 필요할 때마다 관리자 권한을 얻는 데 시간이 오래 걸리는 프로세스를 피하기 위해 우회하는 방법을 만드는 경우가 많다. 

2. 애플리케이션의 상호연결성 증가
서드파티 또는 앱 구성요소 간 연결이 많을수록 설정 오류가 발생할 가능성이 크다. 일반적인 API 오류에는 객체 수준, 사용자 수준, 기능 수준에서의 취약한 인증이 포함된다. 너무 많은 API 정보를 노출하는 것은 해커에게 코드 해독법 단서를 쥐여주는 것과 다를 바 없다. 단일 컨테이너의 의도치 않은 취약점으로 해커가 전체 소프트웨어 스택에 액세스할 수 있다는 점에서 클라우드 네이티브 컨테이너형 앱도 위협이 될 수 있다. 

3. 복잡한 클라우드 인프라 
클라우드 아키텍처의 복잡성은 구성 오류에 상당한 영향을 미친다. 단일 테넌트 클라우드는 아무도 같은 시스템에 코드를 가지고 있지 않기 때문에 위험이 제한적이다. 단, 시스템이 올바르게 설정돼 있는지 확인해야 한다. 다중 테넌트 환경에서는 해커가 동일한 시스템의 VM에서 코드를 실행하지 못하도록 환경을 구성해야 하기 때문에 위험이 커진다. 코드와 데이터가 다양한 위치에서 저장 및 처리될 때 위험이 기하급수적으로 증가하는 곳이 바로 멀티클라우드 또는 하이브리드 아키텍처다. 이러한 요소가 함께 작동하려면 웹 전체에 복잡한 연결 네트워크를 구축해야 하며, 이로 인해 값비싼 실수를 할 가능성이 높아진다.

위험을 관리하는 방법
설정 오류로 인한 위험을 최소화하려면 지속해서 설정을 확인하고, 오류를 식별해야 한다. 이를 수행하는 방법은 다음과 같다. 

• (클라우드 아키텍처가 단순하고, 새 기능을 릴리즈해야 할 부담이 적은) 덜 복잡한 시스템에서는 정기적인 수동 검사로도 충분할 수 있다. 

• 스택이 연결되고 복잡한 수동 프로세스가 확장되지 않게 되면, 개발자는 자동화된 스크립트를 빌드하여 일반적인 설정 오류를 확인할 수 있다. 이는 복잡성과 연결이 제한된 상황에서 사용할 수 있다. 하지만 실수로 취약점이 생성됐다면 해커는 검사가 실행되기 전에 취약점을 악용할 수 있다. 

• 설정 오류 발생 가능성이 큰 복잡한 조직에서는 클라우드 설정 모니터링을 위해 지속적인 모니터링 방법을 사용해야 한다. 


클라우드로 전환한 많은 기업이 보안을 개선하기 위해 ‘클라우드 보안 태세 관리(Cloud Security Posture Management; CSPM)’ 솔루션에 주목하고 있다. 현재 여러 벤더가 자체 클라우드 시스템의 설정 오류를 지속적으로 모니터링하는 플랫폼을 지원하고 있지만 일반적으로 이러한 솔루션은 멀티클라우드 또는 하이브리드 클라우드 아키텍처에서 제대로 작동하지 않는다. 클라우드 시스템마다 구축 방식이 다르고 고유한 용어를 사용하기 때문에 여러 클라우드를 모니터링하도록 설계된 서드파티 솔루션이 더 실용적인 옵션이라고 할 수 있다. 

클라우드 보안 취약점으로부터 기업을 보호하기 위해 선택하는 방법과 관계없이, 최신 인프라와 유연한 애플리케이션 개발 프로세스를 채택하는 기업은 현대적인 보안 태세를 갖춰야 한다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.