[알쓸패잡] 김은희 l 한국오라클 컨설턴트
클라우드 보안 침해 사고 막으려면?

패션비즈 취재팀 (fashionbiz_report@fashionbiz.co.kr)|23.04.17 ∙ 조회수 3,494
Copy Link

[알쓸패잡]  김은희 l 한국오라클 컨설턴트 <br> 클라우드 보안 침해 사고 막으려면? 3-Image



작년 말부터 클라우드에서 보안 침해가 속출하고 있다. 클라우드 이용사마다 보안 점검이 진행되고 있고 CSP(Cloud Service Provider)인 오라클 내에서도 보완에 대한 경각심을 높이기 위한 교육과 보완서비스를 제안하는 등 바쁘게 움직이고 있다.

“이용료만 3억원, 죽도록 후회…. 해커에 털린 클라우드 개발자”라는 기사처럼 해커가 기업형 구독을 하는 회사의 관리자 계정을 해킹해서 3억원의 서비스 비용이 발생한 것이다. 이처럼 한번 보안 사고가 나면, 수억원 내지 수십억원의 금전적 피해가 발생할 수 있는데, 이는 클라우드의 장점인 짧은 시간에 전 세계 리전(Region)에서 최대의 리소스(VM)를 생성할 수 있기 때문에 가능하다.

여기서 해커가 생성한 리소스는 암호화폐 채굴에 사용하거나 다른 사이트의 해킹을 위한 디도스 공격에 활용한다. 해커의 입장에서 클라우드 계정 탈취는 가장 쉽게 돈을 벌 수 있기도 하고, 해킹 공격을 할 수 있는 가장 간단한 일이기도 하다.

그렇다면 VM(Vertual Machine, 가상적으로 만든 서버)을 1000대 만드는 데 시간이 얼마나 걸릴까? VM의 대수에 관계없이 7분 이내에 VM이 배포된다. 단지 7분. 해커에게 7분만 있다면 전 세계 리전에 VM 수십만 대를 7분 안에 만들어서 그것으로 공격을 할 수 있다는 계산이다.

해커에게 Free Trial 계정탈취도 가장 쉬운 공격의 대상이 되는데, 프리트라이얼 계정을 탈취해서 업그레이드를 한 후 무제한으로 리소스를 만들어서 쓰고 몇 시간 만에 사라질 수 있다.

이렇게 사고가 발생했을 때 클라우드 사업자들은 어떻게 대응할까. 사례에 따라 다르지만 CSP가 책임을 100% 지지 않는다. 이를 ‘책임공유 모델’이라고 하는데, 계약조건에 따라 책임지는 정도가 달라진다.

책임공유 모델(Shared Security Model) : 클라우드 서비스 공급자와 고객이 보안의 책임을 함께 지는 모델. IaaS(Infrastructure as a Service : 서비스형 인프라스트럭처)를 공급했을 경우 CSP가 인프라의 보안사고의 책임을 지고, 고객은 인프라 위에 올라가 있는 모든 SW의 보안을 책임진다.

PaaS의 경우 CSP가 인프라와 OS까지 책임을 지게 되며 SaaS를 공급했을 경우에는 CSP가 모든 보안을 책임진다. 따라서 기업에 개발 인력과 보안 인력이 없다면 SaaS를 사용해야 하고, 개발역량이 있는 경우 PaaS를 사용하면서 CSP가 책임지지 않는 보안은 고객이 책임지는 것이 책임공유 모델이다. 이제 뚫리지 않는 계정관리를 위한 방법을 소개하고자 한다. 정답은 MFA(다중인증)를 강제로 설정하는 것이다.

은행에 OTP 카드가 있듯이 클라우드 로그인에는 핸드폰에서 다시 한번 인증코드를 받아 입력해야만 로그인이 가능한 MFA가 있다. 클라우드의 패스워드를 기억하기 어렵다고 엑셀이나 원드라이브 등에 저장해 놓았다가 해킹되는 경우가 대부분이기 때문에 MFA를 강제화한다면 해킹되더라도 보안사고를 방지할 수 있다.

MFA(Multifactor Authentication) : 비밀번호 외에 추가정보를 입력하도록 요구하는 다중단계 계정 로그인 과정. 이메일과 SMS로 전송된 코드, 보안암호 질문 응답, 지문 스캔 등. 그 외 클라우드 사용량이 급증할 경우 자동알림 기능을 세팅하고 ID를 절대로 공유해서 사용하지 않는 것도 한 방법이다. 자동화 작업에서 사용할 API 키 파일의 보안을 강화하기가 기본적인 작업이다. 이런 기본 위에서 클라우드가 제공하는 다양한 보안 서비스들, IDCS, 클라우드 가드, 방화벽(firewall) 등의 보안 서비스를 적용해서 안전하게 클라우드를 사용할 수 있다.



■ 김은희 한국오라클 컨설턴트 profile

- 현 한국오라클 상무, 컨설턴트
- MIT 로지스틱스, SCM 공학석사
- FIT 패션바잉, 머천다이징 AAS
- 서울대 의류학과 학사, 석사, 박사







이 기사는 패션비즈 2023년 4월호에 게재된 내용입니다.
패션비즈를 정기구독 하시면
매월 다양한 패션비즈니스 현장 정보와, 패션비즈의 지난 과월호를 PDF파일로 다운로드받아 열람하실 수 있습니다.

■ 패션비즈 정기구독 Mobile버전 보기
■ 패션비즈 정기구독 PC버전 보기

[알쓸패잡]  김은희 l 한국오라클 컨설턴트 <br> 클라우드 보안 침해 사고 막으려면? 2576-Image






■ 패션비즈 기사 제보 Click! !!!
■ 패션 구인구직 전문 정보는 패션스카우트(www.fashionscout.co.kr) , Click! !!!

Comment
  • 기사 댓글
  • 커뮤니티
댓글 0
로그인 시 댓글 입력이 가능합니다.