- 인프라(서버, 네트워크, 스토리지 등) 가상화하여 제공하고 관리 - 높은 유연성, 비용 저렴, 인프라 상위 리소스 관리 필요
PaaS (Platform as a Service)
- 인프라 + 플랫폼(애플리케이션, 소프트웨어를 실행하기 위한 환경) - 플랫폼 관련 이슈(라이선스, 보안 등)에 대한 서비스를 제공하므로 서비스 외 환경적이거나 관리적인 부분에 대한 고민을 덜어줌 - 특정 플랫폼 서비스에 종속될 수 있음
SaaS (Software as a Service)
- 일반 사용자 수준의 서비스를 바로 활용가능 - 사용자는 인프라, 플랫폼상에서의 개발을 수행할 필요 없이 최종 서비스 이용 - 커스터마이징이 어렵다
IaaS -> SaaS로 갈수록 사용자가 관리해야하는 영역은 줄어들며, 지불 금액을 증가한다.
SaaS -> IaaS로 갈수록 클라우드 사용자가 관리해야하는 영역이 증가하며, 지불 금액이 감소한다.
또한 사용자의 목적에따라 커스터마이징이 수월하다.
배치 모델에 따른 클라우드 유형
Public Cloud
- 클라우드 제공자가 소유한 자원에 누구나, 언제, 어디서든 접속이 가능 - 개방되어 있어 상대적으로 보안수준이 저하
Private Cloud
- 기업 또는 단체가 소유한 자원에 허가 받은 사용자만이 접속 가능 - On-Premis와 퍼블릭 클라우드의 중간 형태 - 사용자를 특정할 수 있어 보안에 유리
Hybrid Cloud
- Public + Private - 핵심 시스템은 Private로, 상대적으로 비핵심 시스템은 Public으로 구축
4. 장단점
On-Premis 환경 대비 리소스, 자원에 대한 낭비를 줄여주며, 필요에 따른 서비스 확장 및 축소가 가능하다.
또한, 가용성 측면에서 기존 환경대비 더욱 높은 가용성을 제공할 수 있다.
하지만, 클라우드 서비스를 이용하기 이전에 체계적이고 확실한 서비스에 대한 분석이 필요하며, 자원이 내부 네트워크에서 클라우드 환경으로 이전이 발생하기에 보안과 과련된 문제점도 존재한다. 또한, 유지보수 등 클라우드 환경과 관련된 전문 인력이 추가적으로 필요할 수도 있다.
5. 보안
5-1) 클라우드 보안 형상 관리(CSPM : Cloud Security Posture Management)
등장배경
- 클라우드 기반 솔루션과 서비스가 증가하면서 클라우드 인프라에 대한 보안 솔루션에 대한 수요 역시 증가할 것으로 예상 - 클라우드 구성 오류로 인한 보안 침해 사례가 증가하고 클라우드 인프라의 보안 위반 위험을 줄이기 위한 보안 도구 및 프로세스가 부족 - 클라우드 사고 99%, 설정오류로 전망
기능
- 컴플라이언스 또는 기업 보안 정책에 따라 클라우드 인프라의 위험 요소를 예방, 탐지, 대응 및 예측해 클라우드 위험을 지속적으로 관리하는 솔루션 - IAM부터, 스토리지, 네트워크 등 다양한 클라우드 구성 요소에 대한 보안 위협을 모니터하고 관리
핵심기능
- 끊임없이 변경되는 클라우드 환경에서 컴플라이언스의 지속적인 체크 - 하나 이상의 어카운트 혹은 멀티 클라우드를 통합해 한눈에 볼 수 있도록 자산 가시성 제공 - 컴플라이언스 준수 위반이 발생했을 때 신속한 자동 대응
5-2) 클라우드 워크로드 보호 플랫폼(CWPP : Cloud Workload Protection Platform)
등장배경
- 소프트웨어 개발과 효율적 운영을 위해 쿠버네티스, 컨테이너 및 PaaS, 서버리스 서비스 등이 주목을 받았고 클라우드 기술 발전에 따라 해당 환경 역시 빠르게 발전 - 하지만 컨테이너에 관련된 보안 인식은 부족한 현실이며, 이에따라 안전한 워크로드 상에서 컨테이너의 운영이 필요함
기능
- 온프레미스, 가상 머신(VM), 컨테이너, 서버리스 등 워크로드에 대해 가시성과 보안을 함께 제공
핵심기능
- 보안 강화 및 설정/취약점 관리 - 네트워크 방화벽, 가시성 확보 및 마이크로세그멘테이션 - 시스템 무결성 보장 - 애플리케이션 제어 - 익스플로잇 예방 및 메모리 보호 - 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지·대응 - 호스트 기반 침입 탐지 시스템 - 안티 멀웨어
- 클라우드 시대가 도래하면서 기업의 클라우드형 SaaS 서비스의 이용률도 급격히 증가 - 이러한 환경의 변화로 기존 보안제품으로는 더이상 기업을 보호할 수 없게 됐고 다음 위협에 대해 탐지가 불가능한 이슈 발생
1) 클라우드에서 발생하는트래픽의 모니터링 불가,
2) 비구독 클라우드 앱에 대한 통제 불가
3) 멀웨어‧알려지지 않은 위협에 대하여 탐지 불가 이슈 등이 발생 - 이러한 SaaS 서비스 사용에 이미 이메일, 영업/마케팅 정보, 개발 데이터 등 민감 정보가 클라우드 내에 저장되고 있음 - 2019년에 발표된 클라우드 보안 리포트(CyberSecurity INSIDERS)에 따르면 클라우드 서비스 사용에 따른 보안 문제로 64%가 ‘데이터 유출에 대한 위협’이라고 응답
기능
- 클라우드 애플리케이션을 정책에 따라 접근하도록 하는 솔루션으로 클라우드 접근 보안 중개자 역할(클라우드·온프레미스의 보안정책 시행 지점) - 조직 전체의 클라우드 사용 가시성을 제공하고 규제 준수 요구를 보장하고 증명하며 데이터가 클라우드에 안전하게 저장되고 불법으로 유출되지 않도록 도와줌
핵심기능
- 실시간 데이터 유출방지(DLP) 및 장치‧데이터의 중요도 따른 엑세스 제어 등 데이터 보호 - 업로드/다운로드 데이터 감지 및 알려진/제로데이(Zero-day) 위협을 탐지하는 위협 탐지 - 사용자 인증을 위한 SSO 연동 및 위험 로그인 감시를 위한 다중 인증 지원 - 클라우드 앱 사용 관련 모니터링(Shadow IT 분석)에 따른 가시성 제공
개인정보 (주민번호, 연락처, 집 주소 등) 금융정보 (결제일, 신용한도 금액, 신용등급 등)
특징
내부 직원에 의한 유출
피해크기
모든 국민 정보 유출
침해 사고 분석
경위
① 2013 KB카드, 롯데카드, 농협카드가 KCB에 부정사용방지(FDS) 업그레이드 용역 > FDS(Fraud Detection System): 고객의 평소 카드 사용형태를 분석해 이상한 거래가 나타나면 카드거래를 승인을 하지 않는 시스템 ② KCB 담당 직원이 2012.10~2013.12까지 USB로 카드 고객들의 개인정보 유출 KB 5300만건, 롯데 2600만건, 농협 2500만건, 도합 1억 400만건(중복포함) ③ 유출 정보를 대출광고업자에 1650만원 판매 대출광고업자들은 2300만원에 판매 ④ 해당 카드사들은 유출 사실을 인지하지 못했고, 7개월 뒤인 2014년 1월 검찰의 발표에 의해 알려짐
원인
① 전자금융감독 및 보안 규정 위반 - 물리적 보안 등 보안 규정의 부제 - 전자금융감독 규정: 전산 프로그램 실험 시 실데이터의 사용을 금지 - 카드 3사는 고객 정보를 변환없이 그대로 제공 * 당시 3사의 전자금융감독 규정 위반 사항 - 국민카드: 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지 위반 - 롯데카드: 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지, 전산장비 반출 통제 위반 - NH카드: 전산장비 반입 통제, 보조기억매체 접근 통제, 실험 시 실제 개인정보 사용 금지, 전산장비 반출 통제 위반 ② 접근 통제 부제 - 용역 직원이 사용한 PC에는 USB 통제 프로그램이 설치되지 않음 ③ 당국의 소극적 대처 -당시 정보 유출 사건 발생 시 ‘기업 주의’ 조치와 600만원 정도의 징계
조치
① 금융위원회 - "금융분야 개인정보 유출 재발방지 종합대책" 발표 > 현황/문제점 및 재발방지를 위한 향후 계획을 발표 > 문제점 ⒜ 과도한 수집 관행: 영업에 필수적이지 않은 정보까지 수집하여 장기간 보유 ⒝ 포괄적 동의 관행: 제3자 제공시 목적도 불분명한 “포괄적 동의” 등으로 인해 사실상 동의가 강요 ⒞ 권리보장 미흡: 개인정보 제공에 대한 ‘자기정보 결정권’이 실질적으로 보장되지 못함 ⒟ 불법정보 수요: 대출모집인 등이 “무차별적” 모집․권유 영업을 하는 과정에서, 불법정보의 수요처로 작용 ⒠ 내부통제 부실: 주요 의사결정자에 대해 정보보호 현황에 대해 충분한 보고가 이루어지지 않고, 관심이 부족 ⒡ 불충분한 제재: 정보유출시 금융회사 등에 대한 제재 수준이 미미하여 재발방지 효과가 미흡
> 계획 ⒜ 정보수집을 최소화하고 보관기간을 5년으로 단축하는 등 정보를 체계적으로 엄격히 관리 ⒝ 주민등록번호는 최초 거래시에만 수집하되, 번호 노출이 최소화되는 방식으로 수집(예: key-pad 입력)하고, 암호화하여 보관 ⒞ 정보 제공 등의 동의서 양식을 중요 사항은 잘 보이도록 글씨를 크게 하고 필수사항에 대한 동의만으로 계약이 체결되도록 전면 개편 ⒟ 금융회사의 개인정보 이용․제공 현황을 조회하고, 영업목적 전화에 대한 수신 거부(Do-not-Call) 등록 등을 위한 시스템 구축 ⒠ 임원 등의 정보보호․보안관련 책임을 강화하고, 불법정보 활용․유출과 관련한 금전적․물리적 제재를 대폭 강화 ⒡ 금융전산 보안전담기구 설치 등을 통해 금융회사의 보안통제를 강화하는 한편, 카드결제 정보가 안전하게 처리되도록 단말기를 전면 교체 ⒢ 금융회사가 보유 또는 제공한 정보도 불필요한 것은 즉시 삭제하고, 정보유출시 대응 매뉴얼(Contingency Plan)마련 및 비상 대응체계 구축
② 3사 2014/02/17~2014/05/16 영업정지 처분 및 벌금 (현행법 상 최고 수준 제재) ③ 카드 3사의 허술한 유출 확인 방법 - 국민카드: 이름, 생년월일, 주민번호 끝자리로 유출 여부 확인 -> 주요 인사들의 개인정보 유출로 이어짐 - NH카드: 유출 확인 페이지에 입력한 정보를 암호화 없이 평문 전송 -> 스니핑으로 인한 추가 유출로 이어짐 - 그 외: Active X로 인한 불편함, 사용자 급증에 따른 장애 ④3사 카드 사용자들은 2014/01/20 손해배상 청구결과 - 유출 고객에게 각각 10만원씩 위자료 배상 판결(2018 국민, 농협 판결, 2019 롯데 판결) ⑤ KCB는 국민에 404억원, 농협에 180억 배상 판결(2022)
기타
- 2015 보안 컨설팅 업체 젬알토에서 2014 최악의 개인정보 유출사례 선정 - 전자금융감독규정 제12조(단말기 보호대책)의 4 정보유출, 악성코드 감염 등을 방지할 수 있도록 단말기에서 보조기억매체 및 휴대용 전산장비에 접근하는 것을 통제할 것 - 전자금융감독규정 제13조(전산자료 보호대책)의 10 이용자 정보의 조회ㆍ출력에 대한 통제를 하고 테스트 시 이용자 정보 사용 금지(다만, 법인인 이용자 정보는 금융감독원장이 정하는 바에 따라 이용자의 동의를 얻은 경우 테스트 시 사용 가능하며, 그 외 부하 테스트 등 이용자 정보의 사용이 불가피한 경우 이용자 정보를 변환하여 사용하고 테스트 종료 즉시 삭제하여야 한다) - 전자금융감독규정 제13조(전산자료 보호대책)의 4 전산자료 및 전산장비의 반출ㆍ반입을 통제할 것 - 삼성카드, 신한카드는 전자금융감독규정 준수 및 암호화 프로그램 등을 이용해 피해 無 - 전 국민이 피해를 입어 주민등록번호 등을 바꾸는 법 신설
2021년 말 역사상 최악의 보안 취약점이 발견되었다. 해당 취약점은 단 한 줄의 명령으로 익스플로있이 가능하며, CVE-2021-44228로 명명 및 CVSS 10점을 부여받았다. 대부분의 기업 및 기관이 Log4j를 사용하기에 역사상 최악의 보안 취약점이라 불린다. 현재는 취약점이 패치가 된 상태이며, 개인 공부 및 정리 목적으로 관련 내용을 정리하려 한다.
1. Log4j 취약점(CVE-2021-44228)
[캡쳐 1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228 번역
cve.mitre.org(https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228)에 따르면 해당 취약점은 일부 취약한 Log4j의 JNDI 기능으로 인해 공격자가 제어하는 LDAP 및 JNDI 관련 엔드포인트로부터 악용될 수 있다는 것
2. 취약점에 이용되는 기능
해당 취약점은 Log4j, JNDI, LDAP 3가지 기능을 악용하는 것으로 해당 기능에 대한 이해가 필요하다.
