ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 클라우드 서비스의 정보보안 누수, 해결책은?_인스피언
    Technology/로그관리 및 분석(SIEM) 2023. 8. 10. 10:31

     

    안녕하세요.

    인스피언입니다.

    우리 일상의 많은 서비스와 솔루션들이 클라우드로 전환되어 있는 만큼 클라우드 기반 서비스 및 솔루션의 보안 문제가 발생하고 있습니다.

    오늘은 그에 따른 대처 방안에 대해 알아보겠습니다.

    클라우드 환경에서의 로그 데이터 보호와 데이터 유출 방지를 위한 효과적인 기술적 대책을 살펴볼 것입니다.

    또한 클라우드 서비스 이용 시 주의해야 할 법적 측면과 조직 내 보안 문화를 강화하기 위한 전략에 대해서도 알아보겠습니다.

    클라우드 뿐만 아니라 서비스들의 보안 취약점은 필연적이다

     

     

    클라우드 서비스도 예외없이 침해사고가 발생할 수 있습니다.

    이를 방지하기 위해 CI/CD 방식의 개발 업데이트를 진행하여 적극적인 유지보수 프로세스를 채택해야 할 의무가 있습니다.

    최근에는 많은 서비스들이 CI/CD의 프로세스를 채택하고 있지만 여전히 많은 클라우드 서비스들이 저렴한 비용을 전면에 내세우며 중요한 정보보안을 등한시 하는 경우가 있습니다.

    이 때 사용자들이 반드시 체크해야 할 사항은 해당 클라우드 서비스가 지속적인 업데이트를 하고 있느냐인지를 파악하는 것이 가장 중요합니다.

     

     

    대표적인 클라우드 서비스의 보안 사고

     

    iCloud 유출 사건

    2014년에는 애플의 클라우드 서비스인 iCloud에서 유명인사들의 사진이 해킹에 의해 유출되는 사건이 일어났습니다.

    해커들이 취약점을 이용하여 개인 사진과 비디오를 불법적으로 접근한 것으로 파악되었습니다.

    이로 인해 수많은 사람들의 개인정보가 담긴 영상이나 사진이 인터넷에 유포되는 대형 참사로 이어졌습니다.

    Equifax 데이터 침해 사건

    Equifax는 미국의 신용평가 기관 중 하나로, 2017년에 약 1억 4300만 명의 개인 정보가 해킹으로 인해 유출되었습니다.

    이로 인해 사회보장 번호, 신용 카드 정보 등 민감한 정보를 포함한 개인 정보 유출 사건으로 큰 파장을 일으켰습니다.

    이미 유출된 개인정보는 복구가 불가능한 것으로 이렇게 해킹된 개인정보를 이용하여 보이스피싱, 스미싱 등등의 개인을 향한 범죄에 악용될 정도의 유출사고였습니다.

    마이크로소프트 클라우드 서비스 노출 사건

    마이크로소프트의 클라우드 서비스인 Azure에서도 잘못된 설정으로 인해 기업 데이터가 대량 노출된 사례가 발생했습니다.

    이로 인해 중요한 기업 데이터가 외부에 노출되는 위험을 경험한 기업들이 있었습니다.

    물론 이후에는 업무 프로세스를 개선하여 더이상의 문제는 발견되고 있지 않습니다.

    이는 기업 내부에서 발생했던 문제이지만 인사사고가 정보보안의 누수로 이어진다는 점을 간과했다는 것은 부정하기 어렵습니다.

    #체크포인트

    CI/CD는 "Continuous Integration"와 "Continuous Deployment"의 약자로, 소프트웨어 개발 및 배포 과정을 자동화하고 지속적으로 진행하는 개발 방법론과 프로세스를 나타냅니다.

    이를 통해 개발자들은 더욱 신속하게 품질 높은 소프트웨어를 개발하고 배포할 수 있습니다.

    인스피언에서 개발하는 SAP, 통합로그, EDI처럼 비즈니스 용도로 개발된 서비스 및 솔루션들은 어김없이 CI/CD 방식을 채택해 정보보안에 만전을 기하고 있습니다.

    침해사고에 대한 대처방안

     

     

    이렇듯 클라우드 서비스라고 해도 침해사고가 일어나지 않는 것이 아니며 침해사고로 인해 개인들이 피해를 봤던 여러 사례들을 토대로 결론을 내린다면 정보보안의 개인이 아닌 기업의 책임이자 의무라는 점을 알 수 있습니다.

    현행법상, 강력한 정보보안을 요구하는 정부 지침에 의해 결국에는 기업의 책임이자 의무로 전환될 것입니다.

    그러나 불필요한 책임과 의무가 아닌 품질개선과 고객의 신뢰로 이어진다는 점을 생각해보면 기업에게는 오로지 플러스 요인으로만 작용합니다.

    특정 서비스를 비즈니스에 활용하더라도 기업 내부에서 반드시 지켜져야 할 프로세스는 아래와 같습니다.

    따라서 통합로그관리 솔루션을 비롯한 여러가지 솔루션을 활용하면 어렵지 않게 침해사고에 대응할 수 있습니다.

     

    기업 정보보안 지침의 기본

     

    데이터 암호화와 안전한 전송

    로그 데이터는 암호화되어 저장되어야 합니다.

    데이터 전송 과정에서도 안전한 프로토콜(예: HTTPS)을 사용하여 암호화된 형태로 전송되도록 구성해야 합니다.

    접근 제어 및 인증 강화

    접근 권한을 세분화하여 최소한의 권한만을 부여하고, 강력한 인증 메커니즘을 사용하여 무단 접근을 방지해야 합니다.

    다단계 인증(Multi-factor Authentication, MFA) 등을 활용할 수 있습니다.

    데이터 소유자와 제공자의 역할 분담

    데이터 소유자와 클라우드 제공자 간의 보안 책임을 분명하게 정의해야 합니다.

    보안 책임을 나누고 협업하는 방식으로 클라우드 환경에서의 데이터 보호를 강화할 수 있습니다.

    감사와 모니터링 시스템

    로그 데이터의 감사 및 모니터링 시스템을 구축하여 이상 행위나 침해사고를 신속하게 탐지하고 대응할 수 있도록 해야 합니다.

    이에 도달하기 위해서는 관제시스템 역할을 하는 통합로그 분석 시스템이 필요합니다

    법적 규정 준수

    클라우드 서비스를 제공하는 업체가 해당 국가 및 국제의 법적 규정을 준수하는지 확인해야 합니다.

    법적 규정 준수에 대한 제 3자의 감사 또는 인증을 통해 신뢰성을 높일 수 있습니다.

    데이터 백업 및 복구 계획

    로그 데이터의 손실을 방지하기 위해 주기적인 데이터 백업과 복구 계획을 마련하여 비상 시 빠른 대응을 할 수 있도록 해야 합니다.

    보안 업데이트와 패치 관리

    사용하는 클라우드 기반 솔루션과 운영 시스템의 보안 업데이트와 패치를 정기적으로 관리하여 최신 보안 취약점에 대응해야 합니다.

    학습과 교육

    조직 내에서 보안 인식을 높이기 위한 교육과 훈련 프로그램을 제공하여 사용자들이 보안 정책을 이해하고 준수할 수 있도록 지원해야 합니다.

     

    정보보안은 기업의 책임이자 의무입니다

     

    저희 인스피언은 SAP, 통합로그 관리 및 보안 솔루션 분야에서 국내시장 점유율 1위를 기록하고 있습니다.

    IT 인프라 관리 솔루션, 빅데이터 솔루션 뿐만 아니라 EDI 분야에서도 국내 주요 기업에 솔루션 및 서비스를 공급하고 있습니다.

    이러한 업력을 바탕으로 SAP 코리아로부터 "SAP 최고 파트너"로 선정되기도 했습니다.

    최고의 정보보안 시스템은 늘 인스피언이 지향하는 목표입니다.

     

     


     

     

     

    댓글

Designed by INSPIEN