Offcanvas

������ ������������

잇단 보안 침해 사건으로 주목 '클라우드 보안 형상 관리'

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

CIO 디비 클라우드 Divvy Cloud CSPM Cloud Security Posture Management CCPA GDPR 보안 침해 캐피탈원 아마존웹서비스 팔로알토 네트웍스 클라우드 보안 AWS 맥아피 가트너 클라우드 보안 형상 관리

2020.03.03

최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다.  과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다.    고객의 오류 구성이 문제  대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다.  맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다.  랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다.  일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 ...

2020.03.03

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13