클라우드 주요 보안 위협

CVE

- 알려진 공통 취약점

ex) 로그인 페이지에 문자열 필터링 기능이 없어 SQL Query 문을 이용하여 데이터베이스를 탈취

 

CWE

- 소프트웨어 취약점 목록

ex) 로그인 페이지에 문자열 필터링

 

CCE

- 소프트웨어 취약한 설정, 구성에 대한 점검

- 소프트웨어 보안 강화 구성 (하드닝)

ex) apache2 index of /

 

클라우드 주요 보안 위협

 

1. 데이터 유출/손실

- 데이터에 대한 삭제, 수정, 손실

- 암호화키에 대한 분실 또는 도난

- 인증 및 엑세스 제어의 부적절한 인증으로 클라우드 데이터에 대한 불법적 접근

 

2. 클라우드 서비스의 공격

- 공격자는 클라우드 서비스에 대한 익명 엑세스 후 다양한 연속적 공격 수행

① 암호 및 암호화 키에 대한 크랙

② CAPTCHA 우회 시도

③ 클라우드 호스팅 플랫폼 공격

 

3. 안전하지 않은 인터페이스 및 APIs

① 사용자 정의 정책 우회

② 로깅 및 모니터링 장비 우회

③ 알 수 없는 API의 종속성

④ 재사용 가능한 패스워드 및 토큰 방식

⑤ 입력 데이터에 대한 검증이 충분하지 않은 경우

 

최근 이 취약점을 이용한 공격이 많아지고 있지만, 국내에는 API에 관한 실질적인 보안 기준이 없는 상황이다. 이에 실무에서는 해외의 API 보안 기준을 참고하고 있다.

 

4. VM-Level Attacks

광범위한 가상화 기술 사용으로 하이퍼 바이저의 취약점이 발생한다.

 

5. Lock-in

클라이언트 능력 부족으로 표준 데이터 및 응용 프로그램 서비스 이동, 클라우드 마이그레이션 이동

 

6. License Risks

클라우드에 배포된 소프트웨어는 당 기준으로 부과 시 조직에 많은 라이센스 요금을 부과

 

클라우드 서비스를 사용하는 업체의 보안 요구사항 검증

 

클라우드 환경에서 서비스를 구현하면 이미 CSP 업체 자체에서 ISMS-P 인증을 받았기 때문에, 실제로 검증 받을 ISMS-P 보안 요구 사항이 많이 줄어든다. 하지만 계정 관리(IAM 등)에 관한 보안 사항 등에 대한 검증은 별도로 수행해야한다.