Cloud Security : 보안 사고 대표 사례 및 책임 모델

안녕하세요. MC에몽입니다.

저희의 첫번째 주제는 “클라우드 보안”입니다.

많은 기업들이 클라우드의 도입 및 전환을 하면서 클라우드 시장 규모가 매년 성장하고 있습니다.

그러면 클라우드 이용시 가장 문제가 되는 건 뭘까요?

네트워크타임즈에서 2020 보안 담당자 설문조사에 조사한 바에 따르면 클라우드 이용시 가장 문제가 될 수 있는 것 1위 클라우드 설정 오류 및 담당자 실수로 인한 보안 사고, 2위 클라우드 계정 탈취로 공격자의 무단 침입, 3위 데이터 유출로 보안과 관련된 이슈가 대부분을 차지하고 있음을 알 수 있습니다.  

 

그렇다면 해당 보안 이슈들로 일어나는 대표적인 클라우드 보안사고 사례들에 대해서 알아보겠습니다.

 

1. 미국의 대형 은행, Capital One 개인정보 유출 사고

2019년 7월 29일, 미국의 대형 은행인 Capital One에서 1억 600만 명이 넘는 고객 개인정보가 해킹 당한 사건입니다. 용의자는 캐피털 원이 AWS에 설치하여 사용하고 있는, open-source WAF(Web Application Firewall)의 설정이 잘못된 것을 이용하여, AWS 상에 저장된 캐피털 원의 고객 데이터에 접근하였고 적절하게 보안이 설정된 Amazon Cloud Instance를 찾아서 해킹을 하였습니다. 이때 해킹한 정보가 캐피털 원의 고객정보 였습니다. 또한 역으로 탐지되는 것을 피하기 위하여, Tor 브라우저를 사용하고, Private VPN 통해서 AWS에 접근 하였다고 합니다.

 

2.  Cloud 계정 해킹 사고

2020년 1월 이후 클라우드 서버에 대한 사이버 공격이 630% 상승했습니다. 해킹된 계정 대부분의 계정은 암호화폐 채굴에 악용을 했습니다. 클라우드를 사용하면서 MFA설정을 하지 않거나, public zone에 개인 api key를 업로드를 하는 경우들이 있습니다. MS의 경우, 공격 당한 계정의 99.9%가 MFA를 전혀 사용하지 않아 해커들의 타켓이 되었으며, public zone에 api key등을 해커들이 발견해 악용을 하였다고 합니다. 이와같이 클라우드를 사용하는 사용자들의 보안 인식이 낮기 때문에 발생한 사건사례들입니다.

그러면 클라우드 보안사고에 대한 책임과 보상은 어떻게 이루어질까요?

 

CSP(Cloud Service Provider)에서 제공하는 클라우드는 각 사에서 지정한 공동책임모델(Shared Responsibility Model)을 따르고 있습니다.

 

클라우드 공동책임모델이란 Public 클라우드 제공자인 CSP와 클라우드 사용자가 각각 보안을 책임져야 하는 부분이 있는 방식입니다. CSP는 클라우드’의’ 보안, 즉 클라우드 서비스 자체의 보안을 책임지고, 사용자는 클라우드’에서의’ 보안, 사용자가 클라우드를 사용하면서 생성하는 사용자 데이터에 대한 책임져야합니다. 

예를 들어 클라우드를 접속할 때 보안 키 방식을 사용한다면, 보안 키의 암호화에 대한 기능은 CSP의 책임이지만, 사용자가 접속하기 위해 가지고 있을 사설 키에 대한 관리 책임은 사용자에게 있는 것입니다.

또한 클라우드 서비스는 IaaS, PaaS, SaaS 등 다양한 단계로 나뉘어져 있습니다. 사용자의 클라우드에 대한 권한과 자유도가 높아지는 서비스의 경우, 그에 따른 더 큰 책임이 요구된다는 점입니다.

따라서 클라우드 사용자가 클라우드 보안사고로 큰 손실을 입더라도, 그 책임이 온전히 사용자에게 있다면 CSP로부터 아무런 배상을 받을 수 없으니 꼭 조심해야합니다.

 

언제 어디서나 필요한 만큼 자원을 사용할 수 있는 클라우드란 강력한 기술은 보안 없이는 언제 어디서나 필요한 만큼 자원을 탈취 당할 수 있는 위험한 기술이기도 합니다.

그러면 안전한 클라우드 사용을 위해서 설정해야하는 최소한의 보안 수칙에 대해 알아보겠습니다.

 

1. 로그인 시 MFA(Mutli-Factor Authentication : 다중인증) 활성화

Google OTP등 다양한 방식의 MFA를 사용하여 다중인증 로그인을 활성화 합니다.

 

2. Root 사용자 사용을 지양하고, IAM정책으로 최소권한허용 방식으로 사용

“최소권한허용의 원칙”으로 각 사용자에게 꼭 필요한 만큼의 권한만 허용하는 방식의 정책을 사용합니다. 관리자도 관리자 권한을 가진 사용자를 생성하여 사용, Root 사용자의 권한은 너무 막강하여 사용하지 않는것이 좋습니다.

 

3. Billing report를 자주 확인

각 CSP 별로 Billing report를 자주 확인하여 필요 없는 리소스에 비용이 나가고 있는지 자주 확인하는 습관을 들여야합니다. 멀티 클라우드의 모든 리소스를 동시에 관리 해주는 멀티 클라우드 솔루션을 활용하는 것도 고려해야합니다.

 

이번 시간에는 Cloud 보안 사고의 대표적인 사례와 공동책임모델에 대해서 알아보았습니다.

다음에는 각 CSP별로 이런 보안사고 등에 대비하기 위해 어떤 보안솔루션을 가지고 있는지 알아보겠습니다.

 

See you next time!

참고문헌 : 

1. “[2020 보안 담당자 설문조사②] 심각한 클라우드 보안 현황”, 데이터넷
https://www.datanet.co.kr/news/articleView.html?idxno=142060

2. “캐피탈 원 사건에 연루된 AWS, “설정 오류가 문제의 근원””, 보안뉴스
https://www.boannews.com/media/view.asp?idx=82347

3. “클라우드, 편한 만큼 위험?...연결된 모든 데이터 노리는 '클라우드 재킹'”, 테크42
클라우드, 편한 만큼 위험?...연결된 모든 데이터 노리는 '클라우드 재킹' - 테크42 (tech42.co.kr)

4. 공동 책임 모델 – Amazon Web Services(AWS)