보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 인터뷰

엔시큐어 주경민 과장이 뽑은 클라우드 보안이슈 TOP 3

입력 : 2022-08-21 22:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
클라우드 전환 과정에서의 허점 문제, 클라우드 네이티브 환경, 클라우드 계정 탈취
엔시큐어 주경민 과장, “클라우드는 보안이 설계단계부터 개입돼야”


[보안뉴스 기획취재팀] 클라우드 보안이슈가 끊이지 않고 있다. 최근 클라우드 마비 사태부터 클라우드 정전, 클라우드 서비스를 사칭한 해킹 공격 등 클라우드와 관련된 사이버 위협이 급증하고 있다. 게다가 기존 보안 시스템 환경과 다르다 보니 기업에서는 보안이 쉽지 않아 데이터 유출, 랜섬웨어 감염 등 피해를 입고 있다.

▲엔시큐어 주경민 과장[사진=보안뉴스]


이에 <보안뉴스>는 보안전문업체 엔시큐어 사업2본부 기술2팀에서 클라우드 및 컨테이너 보안 업무를 맡고 있는 주경민 과장과의 인터뷰를 통해 최근 클라우드 보안위협 유형과 하반기 주목되는 클라우드 보안이슈, 그리고 최근 보안 위협 및 기술 트렌드에 대해 들어봤다. 다음은 주경민 과장과의 일문일답.

최근 클라우드 보안 이슈에 대해 설명해 주신다면?
첫 번째, 새롭게 도입한 클라우드 환경에 적응하지 못해 발생하는 보안 문제입니다. 최근에 기업들이 클라우드 및 컨테이너 환경으로 많이 넘어가고 있는데요. 온프레미스(On-Premise) 환경에 익숙해져 있다보니 클라우드 환경에서는 운영자가 보안을 꼼꼼하게 확인하기가 어려운 상황입니다. 이처럼 클라우드 환경에 적응하지 못해 발생하는 보안 허점이 문제가 되고 있습니다.

두 번째, 클라우드 네이티브 애플리케이션에 대한 공격입니다. 데브옵스(DevOps), CI/CD, 컨테이너 등 클라우드 네이티브 환경에서는 보안이 적용돼 개발부터 배포, 운영까지 전 과정에 걸쳐 보호돼야 합니다. 클라우드 네이티브 애플리케이션 보호 플랫폼을 통해 개발과 실행, 서비스에 이르는 전 단계의 보안 가시성을 확보할 수 있어야 합니다.

세 번째, 최근에는 해커들이 클라우드 계정을 탈취해 가상화폐 채굴에 이용하고 있는데요. 개인 뿐만 아니라 기업의 클라우드 계정을 탈취하면 무제한으로 사용량을 늘릴 수 있어 피해 금액이 기하급수적으로 증가할 수 있습니다. 그런데 그렇게 하면 무조건 포착되기 때문에 해커는 걸리지 않을 정도로만 지속적으로 채굴하고 있어 기업은 여기에 주목하고 클라우드 보안을 위해 좀더 철저히 관리해야 합니다.

하반기 주목되는 클라우드 & 컨테이너 보안이슈 TOP 3를 꼽아 주신다면?
1. 클라우드 환경의 계정 권한 관리
클라우드 환경의 계정 권한 관리는 온프레미스보다 훨씬 더 복잡합니다. 클라우드는 네트워크, 서버뿐만 아니라 다양한 서비스에 대한 접근제어를 해야 하기 때문에 다양하고 복잡한 권한 관리로 인해 과도한 권한이 부여될 수 있습니다. 또한, 클라우드 환경에서는 계정 권한 관리가 자동으로 이뤄질 수 있기 때문에 권한 탈취에 대한 대응이 늦어질 수 있습니다.

2. 컨테이너 워크로드 시큐리티(Container Workload Security)
컨테이너 뿐만 아니라 쿠버네티스(Kubernetes)와 같은 컨테이너 오케스트레이션 도구는 강력한 기능을 제공하지만 복잡성으로 인한 보안 문제를 야기할 수 있습니다. 또한, 취약점 조치가 되지 않은 이미지 또는 악의적인 목적을 갖고 업로드한 이미지를 사용할 경우 보안 사고로 이어질 수 있습니다.

* 쿠버네티스(Kubernetes) : 여러 클러스터의 호스트 간에 애플리케이션 컨테이너의 배치, 스케일링, 운영을 자동화하기 위한 플랫폼을 제공하는 오픈소스 기반의 관리시스템이다. 구글에서 설계했지만 현재는 리눅스 재단에 의해 관리되고 있으며, 도커를 포함해 일련의 컨테이너 도구들과 함께 동작한다.

3. 클라우드 시큐리티 아키텍처(Cloud Security Architecture)
클라우드 환경으로 전환됐음에도 클라우드 보안 아키텍처와 전략이 부족한 경우가 많습니다. 배포 전에 적절한 마이그레이션 기술과 전략을 채택해야 합니다.

클라우드 보안 강화를 위해 기업에서 노력해야 할 점은 무엇인가요?
아직은 클라우드 보안에 관해 많이 생소해 하시는 것 같습니다. 온프레미스 환경과는 다르게 클라우드는 보안이 설계단계부터 개입돼야 합니다. CSP(Cloud Service Provider)에서도 최근 클라우드 보안에 대해 적극 교육하고 있고, 클라우드 보안 관련 모범사례들도 많이 있으니 클라우드 환경으로 전환할 예정이라면 미리 클라우드 환경에서의 보안전략과 대책을 미리 수립해 두시는게 좋을 듯 합니다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)