본문 바로가기

전체 글211

클라우드 보안 - 취약성 : 공유 특징으로 인한 취약점 공유 특징으로 인한 취약점 가상화 기술을 활용하여 다양한 사용자가 함께 사용하는 클라우드 서비스(인프라, 플랫폼, 애플리케이션)에 격리, 분리가 안전하게 설계되지 않으면 다른 사용자의 정보가 노출될 수 있음 클라우드 기술은 기존 하드웨어/소프트웨어를 대폭 변경하지 않고도 서비스 형태(as-a-service)의 주문을 소화하는데, 그 대가로 종종 보안이 희생 사례 콘텐츠 배포 네트워크 기업인 클라우드플래어(Cloudflare)에서 발견된 클라우드 블리드(Cloudbleed) 취약점으로 민감정보 유출 클라우드 블리드 : 클라우드 플레어(보안 서비스 제공 업체)에서 발생한 취약점으로 API 키, 비밀번호, 기타 자격 증명을 도용할 수 있는 취약점 대처 방안 모든 민감한 데이터를 암호화하고, 민감도 수준에 따라.. 2023. 7. 19.
클라우드 보안 - 취약성 : DoS 공격 DoS 공격 시스템의 가용성을 공격하는 해킹 기술로 공격자는 클라우드 서비스를 대량으로 사용하여 정상적인 사용자가 접속하지 못하게 하거나 속도를 느리게 만든다. 공격자가 공격 대상 클라우드 서비스가 프로세서, 메모리, 디스크 공간, 또는 네트워크 대역폭과 같은 한정된 시스템 리소스를 과도하게 소비하도록 해 시스템 속도를 저하시킨다. 사례 해커 그룹에서 미라이(Mirai) 악성 코드를 이용하여 IoT 기기의 취약한 인증 정보를 획득하고 IoT를 이용하여 DNS 공급업체에 DDoS 공격 수행 이 공격에 가담한 IoT 장치들은 기본적인 자격 증명을 사용했기 때문에 손쉽게 해킹 당했다. 대처 방안 네트워크 트래픽 분석을 통한 이례적인 사항을 파악하고 비즈니스 연속성 계획을 검토, 테스트할 것을 권장 참고글 ht.. 2023. 7. 19.
클라우드 보안 - 취약성 : 클라우드 서비스 자원 남용 클라우드 서비스 자원 남용 자원의 확장이 쉬운 클라우드의 특성을 이용하여 취약한 클라우드 서비스나 무료 클라우드 서비스를 이용하여 해킹 도구로 사용 사례 클라우드에서 서버를 대량으로 생성하거나 API를 호출하여 DDoS 공격이나 가상화폐의 채굴, 스팸 메일 발송 등의 목적으로 악용 가능 대처 방안 CSA에 따르면 클라우드 서비스 기업은 결제 수단 사기나 클라우드 서비스 오용 등의 시도를 탐지 및 예방하기 위해 경감책을 마련해야 한다. 직원들이 클라우드를 오용 및 악용하고 있는지 모니터링 클라우드 데이터 손실 방지(DLP) 솔루션을 이용해 데이터 유출을 탐지 및 방지 참고 글 2020 클라우드 최악의 보안 위협 11가지 황치하, 양지언, 『클라우드X보안 실무 가이드』 (부천:프리렉, 2020) 책의 내용을.. 2023. 7. 19.
클라우드 보안 - 취약성 : 불충분한 주의 의무 이행 불충분한 주의 의무 이행(불충분한 실사) 클라우드 서비스 제공자가 제공하는 기능, 서비스에 대한 실제적인 검증과 운영역량 평가를 철저히 하지 않아 클라우드 시스템의 취약점을 초래하는 경우 위협 클라우드 기술을 급하게 도입하고 실사 없이 공급업체를 선택하는 조직은 여러가지 위험에 노출된다. 대처 방안 클라우드 서비스 제공자가 방화벽, 로깅 등의 기능을 제공하지 않거나 보안 관리에 필요한 모니터링 기능을 제공하지 않는 경우 별도의 보안 서비스 도입이 필요하고 소프트웨어 기반의 보안 장비를 구축해야 함 공급 업체를 평가할 때 실사를 위한 효과적인 로드맵과 체크리스트를 만드는 것이 필수적 참고 글 2019년 클라우드 보안 위협 13가지 황치하, 양지언, 『클라우드X보안 실무 가이드』 (부천:프리렉, 2020) .. 2023. 7. 19.