cloud security trend and case

클라우드 컴퓨팅 보안 트렌트

Copyright ⓒ 2019 NOBREAKAll RightsReserved
• 김석 ( 김재벌 / Suk Kim )
– ㈜노브레이크 대표이사
– 한국클라우드컴퓨팅연구조합 (2016~현재)
– 정보통신산업진흥원 클라우드 GSIP 운영/보안 분야 멘토 (2017~현재)
– 안산대학교 IT응용보안과 겸임교수 (2012.2-2018.8)
– 한양사이버대학교 해킹보안과 교수(2015.2-현재)
– 다수의 기업 보안 컨설팅 및 국가 연구과제 수행
– 강의
• 국가기관 / 다수의 기업 및 대학 /교육센터 등 (22년 경력)
– 커뮤니티 활동
• 한국 솔라리스 사용자 그룹 회장
• 솔라리스 테크넷 / 솔라리스 스쿨 운영자
• 오라클 테크니컬 에반젤리스 ( ORACLE ACE Director ) 1/100
• Oracle / Redhat 등 Authorized Instructor
– 집필
• 테크넷과 함께 하는 엔터프라이즈 리눅스 1,2 등 다수의 서적 집필
About Speaker

1. 최신 해킹 기술의 동향 및 유형
2. 클라우드 보안 동향 및 사고 사례
3. 클라우드 보안 모델 (제로트러스트)
4. 클라우드 컨테이너 보안 및 심층방어
5. 클라우드 보안 솔루션 소개
목차

1.최신 해킹 기술의 동향 및 유형

• 2018년 전망
최신 보안 위협 및 보안 기술 전망

• 2019년 전망
최신 보안 위협 및 보안 기술 전망

클라우드 보안 트렌트
• 제로 트러스트 방법론의 등장
• AI 기술의 급속한 성장
• 클라우드 보안 시장의 성장
– 책임공유모델
• 클라우드 네이티브 공격
• 클라우드 네이티브 MITM 공격
• 클라우드 데이터 유출
• 암호화폐 채굴/ 암호화폐 탈취 등
• 랜섬웨어 감염
• 클라우드 장애
– 설정관리 오류
– 내부직원 실수
– 클라우드 인프라 장애
– 클라우드 계정/개인계정 분리 미흡
– DevSecOps
• 유연성과 빠른 혁신으로 인한 보안점검 미흡

클라우드 보안 트렌트
• IoT 보안 위협
– OSINT
– Shodan , Censys 등
– 미라이봇넷, 사토리봇넷 등
– 류크랜섬웨어 ( ICS : 산업제어시스템 )
• Maas (Malware As A Service ) : 악성코드 서비스
• 프랜차이즈화된 DDoS
• 우회 공격기법의 진화 (AI 활용)
• 암호화폐 채굴 및 탈취 ( 크립토마이너 )
• SNP(Social Network Pfishing)
• 생체인식기술무력화 이슈
• 오픈소스 취약점 관리 및 사후관리 문제

2.클라우드 보안 동향 및 사고사례

• 개인정보 유출
– 캐피털 원 ( Capital One ) 고객 정보 해킹 사건
– 미국 대형은행 중 하나인 “캐피털 원＂에서 약 1억 600만명의 고
객(미국인 1억명, 캐나다인 600만명) 개인정보 해킹
– 유출된 개인정보는 AWS에 저장되어 있고, 대부분 2005년 부터
2019년 초까지 신용카드를 신청한 고객들의 정보로, 성명, 주소,
우편번호,전호번호,생년월일,연간소득 등의 정보가 유출
– 캐피털원은 금융 클라우드의 성공사례로 소개된 만큼 충격이 큰
사건
– WAF(ModSecurity)설정 오류를 이용한 SSRF(Server Side Request
Forgery) 취약점을 이용한 공격
– 유출된 데이터에는 미국인 고객에 대한 약 14만개의 사회보장번
호와 약 8만개의 은행 계좌번호, 캐나다 신용카드 고객에 대한 약
1백만개의 사회 보장 번호가 포함
– 깃허브(github)에 고객정보 일부가 공유되고 있는 사실을 고객이
알려옴에 따라 확인
클라우드 보안 동향 및 사고사례

• 개인정보 유출
– AWS S3 버킷 설정 오류
• 미국 유권자 1억 9천만명 개인정보 유출
– 2016년 선거 시즌 RNC(Repubican National Committee)
와 계약 맺은 딥 루트사는 유권자들의 데이터를 암호화
하지 않은 상태로 약 2주간 클라우드 기반 스토리지인
아마존 S3 서버에 저장, 노출된 상태로 방치
( 2017.6.20 )
• 미국 유권자 개인정보가 공개 ( 웹 서버 )
– RNC와 계약된 딥 루트는 6월 1일 부터 12일 동안 미국
유권자 개인정보를 암호화 하지 않은 상태로 방치
– 보안 업체 UpGuard의 사이버 분석가인 Chris Vickery는
약 1억 9천만 명의 유권자의 생일, 주소, 전화번호, 덩당
가입, 유권자 등록 상태 등 개인정보에 누구나 접근 가
능하다는 사실을 파악
• 미국 유권자 데이터베이스가 유출되어 개인정보보
호에 대한 우려제기
• 딥 루트는 개인정보 노출건에 대해 전적으로 책임진
다는 성명 발표

• 정보 유출
– 미국 정보기관의 민감 파일이 암호화 없이 저장 , 노출
– 보안 업체 (Upguard), AWS서버에서 미군 프로젝트 관련
6만개 문서 발견
– 미국 NGA (National Geospatial-Intelligence Agency)의 미군
프로젝트에서 6만 개의 문서가 익명 계정 로그인을 통해 접속
가능한 Amazon 클라우드 스토리지 서버에서 저장되어
있음을 공개
– 암호화되지 않은 노출된 파일 약 28GB 정도
• 미국 정부 시스템, 국방성 시스템에 대한 접속 암호 및 고위 직원에
보안 자격 증명
• 펜타곤 시스템에 대한 관리 접근 권한을 부여하는 마스터 자격증명
최고 기밀 정부 시설에 관리를 위해 계약된 업체의 평문으로 저장된
접근 계정 및 컨설팅 업체(부즈앨런 사) 직원의 SSH 키 존재
• 공격자가 별도의 해킹 없이 노출된 문서에 대한 최고 관리자 계정을
획득 가능

• 클라우드 자원 악용
– 테슬라 클라우드 서버 해킹
• 쿠버네티스 콘솔 노출
– 보안업체 RedRock CSI 연구팀 발견 ( AWS 쿠버네티스 포드 한 개에서 엑세스 자격 노출)
– 원격 측정 및 민감한 데이터가 담긴 웹 스토리지 서비스 역시 노출
• 암호화폐 채굴용으로 악용

• 공유 자원 문제
– MS 클라우드 서버 해킹
• 2010년 서비스 환경설정 오류로 인한 기업정보 유출
– 소니플레이스테이션 네트워크 해킹
• 2011년 아마존의 가상서버를 가명으로 임대 후 좀비 PC로 만들어 해킹
• 자연 재해로 인한 문제
– 폭풍우로 인한 아마존 서비스 장애
• 정전으로 인해 EC2 장애
• 협력서비스 업체인 넷플릭스, 핀테스트, 인스타그램 등의 서비스 중단
– 일본 대지진으로 인한 구글 서비스 장애
• 해저케이블 손상으로 Gmail, 안드로이드 마켓 접속 지연

• 네트워크 침입
– 2010년 태국의 ISP를 이용한 세션하이재킹 공격 발생(구글)
• 구현 오류 및 시스템 오류
– 2011년 50만명의 이용자 메시지 및 주소록이 사라짐(구글)
– 2011년 모바일 마이그레이션에 따른 서버 과부화로 icloud 접속 장애(애플)
– 2012년 스토리지 저장 실패로 인한 서비스 중단(세일즈포스)
– 2012년 iCloud 서버 스위치와 스토리지 오작동으로 인한 서비스 장애
• 권한 탈취
– 2014년 유명 여배우들의 계정탈취로 인한 누드사진 유출
– 2012년 icloud, g-mail, twitter 계정분석을 통한 계정탈취 및 개인자료 삭제

• 악성코드
– 2013년 백도어 활동으로 C&C 서버의 수집정보 은닉장소로 에버노트 이용
– 2012년 Vmware 이미지에 CRISIS 악성코드 삽입
• 계정 및 SW취약점 해킹
– 2012년 Dropbox 직원계정 해킹으로 이용자 이메일 명단 유출 및 스팸 전송
– 2009년 가상화 플랫폼에 대한 제로데이 공격으로 고객사 10만개 웹사이트 삭제
– 2013년 Adobe의 ZenDesk 해킹을 통한 협력사 개인정보 유출
– 2012년 DreamHostDB 해킹으로 인한 개인정보 유출
• 과부하 공격
– DDoS 공격으로 코드 스페이스 모든 자원 삭제
– 2011년 후지쯔 클라우드 서비스 DoS 공격으로 장애

• 클라우드 보안 이슈
– 공유자원 문제점
• 저장된 데이터의 정확한 위치를 확인하기 어려움
• 산재되어 있다는 점이 문제
• Public 클라우드의 경우 신뢰성과 안정성 확보 어려움
• VM 탈출/호핑/이미지 변조 위험성
• 하이퍼바이저 기반 루트킷 문제
– 기존의 보안 문제와 동일한 문제점
• 악의적 중간자에 의한 네트워크 트래픽 도청
• 서비스왜곡 및 웹서비스 언어 스캐닝
• 식별자 관리 익명화 및 접근 권한 변조
• DoS, DDoS 공격 등을 이용한 부하 증가
• 설계 결함 등에 따른 취약점
클라우드 보안 핵심 및 대응

• 기술적인 측면의 위협문제
– 가상화로 인한 보안문제
• 기존의 보안 문제들에 대해 가상화로 환경 변화 시 대응 방안의 변화
• 가상화 환경으로 인해 방어가 어려워지거나 파급효과가 커지는 문제 발생
– 하이퍼바이저 감염 위험
• 하이퍼바이저가 취약할 경우 위에서 동작하는 VM도 동시에 피해 가능성 발생
• 보안성이 낮을 경우 하이퍼바이저에 대한 권한 탈취에 대한 우려
• 호스트 OS의 감염으로 인한 하이퍼바이저 및 VM 전체 감염 확산의 가능성
– 가상머신 공격 경로
• 사용자의 가상머신이 상호 연결
• 패킷스니핑, 해킹, DDoS 공격, 악성코드 전파 등의 공격경로가 존재

• 기술적인 측면의 위협문제
– 공격자의 익명성으로 인한 탐지 문제
• 가상환경에서의 공격자는 파악이 어려움
• 기존의 보안기술로는 가상화 내부 영역에 대한 침입탐지가 어려움
– 가상머신의 이동성으로 인한 문제점
• 물리적 시스템의 문제 발생 시 가상머신의 이동 발생
• 가상머신의 이동으로 인한 감염확산 문제 발생
• 실시간 마이그레이션을 통해 악성코드가 다른 물리적 플랫폼으로 이동할 가능성 발생

• 기술적인 측면의 보안책
– 클라우드 보안 전략
• 공유 자원의 사용으로 인한 새로운 문제에 대해 보안 방식의 재구성 필요
– 전송 데이터의 보호
• IaaS 의 경우에는 스위치/라우터 레벨에서 VPN 사용
• SaaS, PaaS 의 경우 HTTPS (TLS) 를 이용한 통신으로 트래픽의 보안성 유지
– 데이터의 저장
• 클라우드 스토리지에서의 데이터 저장 시 암호화된 데이터 저장
• 데이터의 민감도와 공유여부, 규제 대상 등에 대한 접근제어 및 격리조치
• 사용자 개별단위의 암호화를 사용
• 산업 표준 대칭 암호화 알고리즘 활용으로 보안성 확보

• 기술적인 보안책
– 접근 및 인증
• 사용자 ID 인증
• 휴대폰 인증번화 입력과 유사한 개념으로 관리의 어려움 감소
• 로그데이터를 분리된 SIEM 에 전송해서 효과적인 대응을 모색
– VM 간의 독립성
• 사용자가 접근하는 VM간의 완벽한 독립성 제공
• 하이퍼바이저로 가상머신의 물리 자원에 대한 접근범위 제한
• 데이터 저장 시 암호화 및 삭제 후 남은 데이터 접근 차단
• 성능저하를 감수하더라도 TLS, SSH, VPN 을 활용한 트래픽 관리
– 침입 탐지
• 하이퍼바이저를 통해 각 가상머신의 내부 상태 분석 및 침입탐지
• 하이퍼바이저 상에서 IPS 기능 및 방화벽, 안티바이러스 등의 서비스 제공
• 별도의 특별한 권한을 가진 보안 전용의 가상머신에서 다른 가상머신 탐지
• 어플리케이션 설계 시 클라우드와 같은 공유 환경에 대한 종합적인 위협요소를 고려

3.클라우드 보안 모델 (ZERO TRUST)

• 내부/외부망의 전통적인 통제 개념 소멸
• 믿지 말고 검증하라
제로 트러스트 모델 등장

4.클라우드 컨테이너 보안 및 심층방어

• 여러 계층으로 추상화 되고 다양한 파트(parts)로 이루어져 매우 복잡
– 컨테이너(container)
– 런타임 (run-time)
– 레지스트리(registry)
– 호스트/또는 게스트OS 오케스트레이션 엔진
(orchestration engine)
– 스토리지 시스템 (Storage System)
– 네트워크 오버레이 (network overlay)
– 컨테이너와 상호작용하는 기타 서비스와 리소스
(services and resource interact with container)
컨테이너 보안이 어려운 이유?

• 커널 공유
• privileged mode로 컨테이너 구동
• 컨테이너로 무엇을 할 수 있을지에 대한 느슨한 접근 제어 정책
• 이미지 취약점
• 컨테이너 이미지 하드 코딩
• 컨테이너 환경을 위한 강력한 보안 솔루션 부족
• 컨테이너 스프롤 (Container Sprawl )
Top Security Challenges
보안에 관심있다 말하고, 실제 투자는 zero
개발자의 보안 개념 부재 및 보안을 어떻게 해야 하는지 방법을 모름

• 도커 허브 상의 컨테이너는 안전하지 않다.
• 도커 허브의 약 1000개의 이미지의 20%는 취약
• 도커 허브의 약 1000개의 이미지는 root 패스워드가
부재
• 도커 허브의 top 10 이미지는 약 30여개 이상의 취약
점을 가짐
(ex : nodejs, nginx, Jenkins,postges 등)
Docker Hub 보안 이슈

• 민감하고 공격성이 강한 다양한 취약점 증가
Docker / Containter 관련 취약점 증가

CVE-2019-5736-Demo

• 컨테이너 이미지들을 보안 관리
• 컨테이너 이미지 레지스트리 보안 관리
• Root 권한으로 컨테이너 구동 금지
• 컨테이너들의 리소스 제한
• 컨테이너 런타임 보안 관리
• API 와 네트워크 보안
• 호스트 보안
• 컨테이너 관리 오케스트레이션 (management orachestraion ) 보안 관리
Container Security Best Practices

• Cound Native Compute Foundation (CNCF)를 관리를 위한 오케스트레이션 도구로 83%가
Kubernetes 를 활용한다는 설문 조사 결과.
Container Orchestration 시장 상황
• Kubernetes 를 어떻게 보안 할 것인가? Kubernetes Security Issue !!.

• Cloud Infrastructure Container Engine for Kubernetes
• 특징
• 쿠버네티스 기반의 컨테이너 오케스트레이션 서비스 ( 엔터프라이즈급 개발 친숙함)
• Fully managed
• CNCF 준수, 수정되지 않은 업스트립 kubernets 구현
• 통합된 프라이빗 레지스트리
• 무엇이 장점인가?
• 빠른 마켓 진입
• 시간 절약
• 저렴한 비용
Cloud Infrastructure Container Engine for Kubernets

• Secure Infrastructure
– 인프라 컴플라이언스, 데이터 보안 , 운영 접근 보안 , 콘솔 & API 보안,
호스트보안, 네트워크 보안 , 데이터센터보안
• Resource Isolation
– Region(지역), Compartment(구획) , Availability Domain(가용도메인), Host(호스트)
• Security Controls
– IAM policy , RBAC , Secure Key , 인증서 , 토큰 기반 클라스터 인증
Secure API server , Multi-factor Authentication (MFA)/ IAM
정시 CVE patches, OS updates , Kubernetes version upgrade
Cloud Security Feature Categories

• Network Security
– 퍼블릭 IP가 없는 작업노드 (worker node)
– 클러스터 트래픽을 내부 트래픽으로 만 제한 (NAT 및 서비스 게이트 웨이를 트래픽 라우팅 지원 포함)
– 네트워크 수신 및 송신에 대한 세부정책
– 프라이빗 서브넷의 프라이빗 로드밸런서
– 보안제어 및 트래픽 필터링을 위한 수신 컨트롤러
– Web Application Firewall(WAF)
• Data Encryption
– KMS , TLS , 블록 및 오브젝트 스토리지 미사용 데이터 암호화, OCI 레지스트리 서비스에서 컨테이너 이미지
전송 중 미사용 암호화
• Visibility & Audit
Security Feature Categories

• Edge (엣지) 서버들은 공격자와 서버(orgin)
사이에 방어막으로 동작
심층방어 ( Defense in Depth )
• 셋업 / 활성화는 수분내에 가능
• 하드웨어 및 소프트웨어의 설치 및 구성은 불필요

• 클라우드 우선 설계
• 큐레이트와 자동화된 보안 제어
Intelligent Edge Security

ㅍ
Secure Container
➔ 하이퍼바이저, 게스트OS 필요
➔ 자원 효율성 낮음
➔ 커널 자원 공유
➔ 보안 위협 존재
Container vs. Containter on VM
Linux Kernel
Linux Kernel
Linux Kernel

runV + Cleaner = Kata
성능(부팅시간100ms)과 향상된 보안기술적 중립성(technology-agnostic)
성능과 호환성 모두 뛰어난 사용자 경험(UX)제공
OCI 명세서, 쿠베네테스의 CRI와 호환가능하도록 구현
Kata Security Container

Secure Container
➔ 가벼운 커널 내장
➔ 커널 분리로 네임스페이스간 격리성 확보
Linux Kernel
Linux Kernel A Linux Kernel B Linux Kernel C

Secure Container

Secure and fast microVMs for
serverless computing
Kata Security Container 와 차이점? 호환성?
Kata Security Container vs. Firecracker

5.클라우드 보안 솔루션

• 클라우드 보안 컨설팅
– 취약점 진단
– 개인정보보호 컨설팅 ( GDPR 이슈 등 대비 )
– 보안관제
• WAF
• EDR
• SDP
• 인증, 접근제어 솔루션
• 암호화 솔루션 ( 네트워크 ,데이터 저장 등)
• 멀티클라우드 보안솔루션 ( 가시성, 취약점 관리 등)
• 컨테이너 보안
• CASB / API 보안 솔루션
• SECaaS
• APT / 랜섬웨어 방지 솔루션
• 위협 인텔리전스
• 데이터/문서보안 솔루션
• 이메일/어플리케이션 보안
클라우드 보안 솔루션

클라우드 보안솔루션다층방어
APT 솔루션
ETP
DNS보안
백신
Email보안
URL 필터 안
티 스파이웨어
IPS
FW
CASB
EDR
시그니처 기반 취
약점 차단
부정메일의차단 첨부
파일의차단
첨부 파일 차단 알려
지지 않은 말웨어 차
단
말웨어를 전달하는
사이트통신을 블록
알려진말웨어 차단
말웨어감염 후의
통신포트 기반 차
단
악성사이트로의 통
신 차단
ETP Proxy에서파일 페이
로드인스펙션을 실시
말웨어전달 차단
알려진 말웨어 차단
말웨어감염 후의
표적형메일 Watering hole 공격
알려진IP 차단
ETP Proxy에서 파일 페이
로드인스펙션을 실시
알려진 악성
도메인 차단
알려진 악성
도메인 차단
C&C 통신
(HTTP/HTTPS)
C&C 통신
(HTTP/HTTPS 외)
암호화인프라에
대한통신차단
랜섬웨어
도메인단위의쿼리 분석
으로탐지
파일공유/채팅
Inbound 방어 Outbound 방어
부정한행위 탐지 부정한행위 탐지

• 개요
• 정의
– 보안서비스를 인터넷을 통해 On-Demand 형태로 제공하는 서비스 모델
– 인터넷을 통해 제공하는 “Managed Security Services(이하 MSS)”
• 서비스 특징
– Subscription 형태로 제공 및 과금 정책 사용
– On-Demand 방식이라 확장/축소가 자유로움
– 고객 사이트에서 별도의 설치 없이 인터넷 기반으로 서비스 제공
– 서비스 사업자는 글로벌 Node 구성을 통해 다수의 데이터센터 구성
– Proxy 및 멀티테넌시 기술 사용
• 장점
– 초기 투자비용 및 별도의 장비 없이 사용 가능
– 업데이트 및 유지관리 비용이 없음
– 내부 보안인력의 감소로 전체적인 TCO 절감이 가능
클라우드 보안서비스(SECaaS)

cloud security trend and case

Recommandé

Recommandé

Contenu connexe

Similaire à cloud security trend and case

Similaire à cloud security trend and case (20)

Plus de suk kim

Plus de suk kim (9)

Dernier

Dernier (8)

cloud security trend and case