cloud security-suk kim-2022-10-14-Busan.pdf

Cloud Security Trend 2022
발표자 : 김석 ( 김재벌 : Suk Kim )
SNS/E-mail : ostoneo@gmail.com
블로그 : 김재벌의 IT 이야기 ( http://blog.solaris.co.kr )
Nobreak.Co.,LTD / Oracle ACE Director / ACE Pro (2022)

Copyright ⓒ 2022 NOBREAKAll Rights Reserved
1. 클라우드 보안 동향 및 사고 사례
2. 클라우드 보안 모델 (제로트러스트)
3. 클라우드 컨테이너 보안 및 심층방어
4. 클라우드 보안 인증 및 프레임워크
5. 클라우드 보안 솔루션 소개
6. 클라우드 도입 시 법적이슈
목차

• 김석 ( 김재벌 / Suk Kim )
– ㈜노브레이크 대표이사
– 한국클라우드컴퓨팅연구조합 (2016~현재)
– 정보통신산업진흥원 클라우드 GSIP 운영/보안 분야 멘토 (2017~현재)
– 안산대학교 IT응용보안과 겸임교수 (2012.2-2018.8)
– 한양사이버대학교 해킹보안과 외래교수(2015.2-2021.08)
– 다수의 기업 보안 컨설팅 및 국가 연구과제 수행
– 강의
• 국가기관 / 다수의 기업 및 대학 /교육센터 등 (25년 경력)
– 커뮤니티 활동
• 한국 솔라리스 사용자 그룹 회장
• 솔라리스 테크넷 / 솔라리스 스쿨 운영자
• 오라클 테크니컬 에반젤리스 ( ORACLE ACE Director ) 1/100
– 집필
• 테크넷과 함께 하는 엔터프라이즈 리눅스 1,2 등 다수의 서적 집필
About Speaker

1.클라우드 보안 동향 및 사고사례

클라우드 보안 동향 및 사고사례
http://www.itdaily.kr/news/articleView.html?idxno=207832 https://zdnet.co.kr/view/?no=20211028170157
삼성SDS-LG CNS, 나란히 클라우드 보안 강화
https://zdnet.co.kr/view/?no=20210421172842
클라우드 보안 사고, 3건 중 2건 예방할 수 있었다
https://zdnet.co.kr/view/?no=20210918024241
[이슈분석] 클라우드 환경 사고 95% “고객 실수에서 기인”
https://www.cctvnews.co.kr/news/articleView.html?idxno=229877
방화벽으로도 못막는 클라우드 해킹 급증
https://www.mk.co.kr/news/it/view/2022/07/644853/

https://www.boannews.com/media/view.asp?idx=107662
https://www.boannews.com/media/view.asp?idx=109076

https://www.fmkorea.com/best/4583595870
https://news.mt.co.kr/mtview.php?no=2022050915224197505&VBCC_P
GCP를 해킹 당했습니다….
https://velog.io/@yukina1418/GCP%EB%A5%BC.....-
%ED%95%B4%ED%82%B9%EB%8B%B9%ED%96%88%EC%8A%B5%EB%8B%88%EB%8B%A4

• 개인정보 유출
– 캐피털 원 ( Capital One ) 고객 정보 해킹 사건
– 미국 대형은행 중 하나인 “캐피털 원＂에서 약 1억 600만명의 고
객(미국인 1억명, 캐나다인 600만명) 개인정보 해킹
– 유출된 개인정보는 AWS에 저장되어 있고, 대부분 2005년 부터
2019년 초까지 신용카드를 신청한 고객들의 정보로, 성명, 주소,
우편번호,전호번호,생년월일,연간소득 등의 정보가 유출
– 캐피털원은 금융 클라우드의 성공사례로 소개된 만큼 충격이 큰
사건
– WAF(ModSecurity)설정 오류를 이용한 SSRF(Server Side Request
Forgery) 취약점을 이용한 공격
– 유출된 데이터에는 미국인 고객에 대한 약 14만개의 사회보장번
호와 약 8만개의 은행 계좌번호, 캐나다 신용카드 고객에 대한 약
1백만개의 사회 보장 번호가 포함
– 깃허브(github)에 고객정보 일부가 공유되고 있는 사실을 고객이
알려옴에 따라 확인

• 개인정보 유출
– AWS S3 버킷 설정 오류
• 미국 유권자 1억 9천만명 개인정보 유출
– 2016년 선거 시즌 RNC(Repubican National Committee)
와 계약 맺은 딥 루트사는 유권자들의 데이터를 암호화
하지 않은 상태로 약 2주간 클라우드 기반 스토리지인
아마존 S3 서버에 저장, 노출된 상태로 방치
( 2017.6.20 )
• 미국 유권자 개인정보가 공개 ( 웹 서버 )
– RNC와 계약된 딥 루트는 6월 1일 부터 12일 동안 미국
유권자 개인정보를 암호화 하지 않은 상태로 방치
– 보안 업체 UpGuard의 사이버 분석가인 Chris Vickery는
약 1억 9천만 명의 유권자의 생일, 주소, 전화번호, 덩당
가입, 유권자 등록 상태 등 개인정보에 누구나 접근 가
능하다는 사실을 파악
• 미국 유권자 데이터베이스가 유출되어 개인정보보
호에 대한 우려제기
• 딥 루트는 개인정보 노출건에 대해 전적으로 책임진
다는 성명 발표

• 정보 유출
– 미국 정보기관의 민감 파일이 암호화 없이 저장 , 노출
– 보안 업체 (Upguard), AWS서버에서 미군 프로젝트 관련
6만개 문서 발견
– 미국 NGA (National Geospatial-Intelligence Agency)의
미군 프로젝트에서 6만 개의 문서가 익명 계정 로그인을
통해 접속 가능한 Amazon 클라우드 스토리지 서버에서
저장되어 있음을 공개
– 암호화되지 않은 노출된 파일 약 28GB 정도
• 미국 정부 시스템, 국방성 시스템에 대한 접속 암호 및 고위
직원에 보안 자격 증명
• 펜타곤 시스템에 대한 관리 접근 권한을 부여하는 마스터 자
격증명
• 최고 기밀 정부 시설에 관리를 위해 계약된 업체의 평문으로
저장된 접근 계정 및 컨설팅 업체(부즈앨런 사) 직원의 SSH
키 존재
• 공격자가 별도의 해킹 없이 노출된 문서에 대한 최고 관리
자 계정을 획득 가능

• 클라우드 자원 악용
– 테슬라 클라우드 서버 해킹
• 쿠버네티스 콘솔 노출
– 보안업체 RedRock CSI 연구팀 발견 ( AWS 쿠버네티스 포드 한 개에서 엑세스 자격 노출)
– 원격 측정 및 민감한 데이터가 담긴 웹 스토리지 서비스 역시 노출
• 암호화폐 채굴용으로 악용

• 공유 자원 문제
– MS 클라우드 서버 해킹
• 2010년 서비스 환경설정 오류로 인한 기업정보 유출
– 소니플레이스테이션 네트워크 해킹
• 2011년 아마존의 가상서버를 가명으로 임대 후 좀비 PC로 만들어 해킹
• 자연 재해로 인한 문제
– 폭풍우로 인한 아마존 서비스 장애
• 정전으로 인해 EC2 장애
• 협력서비스 업체인 넷플릭스, 핀테스트, 인스타그램 등의 서비스 중단
– 일본 대지진으로 인한 구글 서비스 장애
• 해저케이블 손상으로 Gmail, 안드로이드 마켓 접속 지연

• 네트워크 침입
– 2010년 태국의 ISP를 이용한 세션하이재킹 공격 발생(구글)
• 구현 오류 및 시스템 오류
– 2011년 50만명의 이용자 메시지 및 주소록이 사라짐(구글)
– 2011년 모바일 마이그레이션에 따른 서버 과부화로 icloud 접속 장애(애플)
– 2012년 스토리지 저장 실패로 인한 서비스 중단(세일즈포스)
– 2012년 iCloud 서버 스위치와 스토리지 오작동으로 인한 서비스 장애
• 권한 탈취
– 2014년 유명 여배우들의 계정탈취로 인한 누드사진 유출
– 2012년 icloud, g-mail, twitter 계정분석을 통한 계정탈취 및 개인자료 삭제

• 악성코드
– 2013년 백도어 활동으로 C&C 서버의 수집정보 은닉장소로 에버노트 이용
– 2012년 Vmware 이미지에 CRISIS 악성코드 삽입
• 계정 및 SW취약점 해킹
– 2012년 Dropbox 직원계정 해킹으로 이용자 이메일 명단 유출 및 스팸 전송
– 2009년 가상화 플랫폼에 대한 제로데이 공격으로 고객사 10만개 웹사이트 삭제
– 2013년 Adobe의 ZenDesk 해킹을 통한 협력사 개인정보 유출
– 2012년 DreamHostDB 해킹으로 인한 개인정보 유출
• 과부하 공격
– DDoS 공격으로 코드 스페이스 모든 자원 삭제
– 2011년 후지쯔 클라우드 서비스 DoS 공격으로 장애

• 클라우드 컴퓨팅 보안 위협 - 13가지 – (2019년)
• 클라우드 보안 연합 ( Cloud Security Alliance, CSA )
– 데이터유출 (2012년 링크드인 – 1억 6700만명 유출
• 자격증명이 포함된 데이터베이스를 암호화, 적절한 로깅, 행위이상분석 필요
– 불충분한 ID , 자격증명 및 액세스 관리
• 합법적인 사용자, 운영자 혹은 개발자로 가장한 공격자에 의한 데이터 도청, 수정, 삭제
• 제언 및 관리 기능을 통한 데이터 도청, 소스 수정을 통한 악의적인 SW 배포
• 몽고 DB –데이터베이스 보호 되지 않은 기본 설치
• 인증없는 포트 액세스 허용

• 안전하지 않은 인터페이스와 API
– CSP는 고객이 클라우드 서비스를 관리, 상호작용하는데 사용하는 일련의 소프트웨어를 제공
– 프로비저닝, 관리, 모니터링은 모두 인터페이스를 사용해 수행
– 일반적인 클라우드 서비스의 보안과 가용성은 API의 보안에 따라 좌우
– API는 정책을 우회하기 위한 우발적, 혹은 악의적인 시도를 차단하도록 설계
– 시스템 취약점
– 운영체제 구성요소 내에 취약점이 존재하면 모든 서비스와 데이터의 보안이 심각한 보안 위협에 직면
– 멀티테넌트로 인한 다양한 조직이 시스템에서 공유메모리, 리소스에 액세스 가능

• 계정도용
– 계정 또는 서비스 인스턴스는 공격자에게 새로운 기반을 제공
– 사용자 자격증명을 획득해 서비스의 기밀성, 무결성, 가용성 훼손
– 더티 카우 (Dirty COW) APT 그룹으로 시스템 관리자 권한 획득 가능
– 접근 정책과 계정 탈취 기술에 대한 소셜 엔지니어링 교육을 권장
• 악의적인 내부자
– 시스템 관리자가 악의적인 내부자인 경우, 주요 시스템 및 데이터에 대한 높은 수준의 접근 권한 보유
– 클라우드 서비스 공급업체에게 전적으로 보안을 맡기는 시스템의 경우 특히 더 위험
– 대표적인 사례로 징가(Zynga)의 직원의 회사 기밀 비즈니스 데이터 공개 사례가 있음

• APT
– APT(Advanced Persistent Threats)는 기생충 형태의 사이버 공격
– 시스템에 침투해 활동 거점을 만들어 데이터 획득
– 장기간에 걸쳐 은밀하게 목표를 공격하며 자체 적응
– 데이터센터 네트워크에서 횡으로 이동하며 정상적인 네트워크 트래픽 사이에 섞여 목표를 달성
• 데이터손실
– 클라우드 서비스 공급업체가 실수
– 화재나 지진과 같은 물리적인 재해
– 클라우드 공급업체나 소비자가 데이터 백업, 재해복구 등의 적절한 조치 필요

• 불충분한 실사
– 비즈니스 전략 수립 시 클라우드 기술과 서비스 공급업체 고려
– 공급업체 평가 시 실사를 위한 효과적인 로드맵과 체크리스트를 만드는 것이 필수적
– 클라우드 기술을 급하게 도입하고 실사 없이 공급업체를 선택하는 조직은 여러 가지 위험에 노출
• 클라우드 서비스 남용과 악의적인 사용
– 보안이 취약한 클라우드 서비스, 무료 클라우드 서비스 평가판 사용 시 위험
– 결제 수단 사기를 통한 사기성 계정 등록은 클라우드 컴퓨팅 모델을 악의적인 공격에 노출
– 클라우드 컴퓨팅 리소스 활용으로 사용자, 조직 또는 타 클라우드 공급업체를 공격 대상 선정
– 악용 사례로 DDOS, 이메일 스팸, 피싱 사기 등이 존재

• DoS
– 서비스 사용자가 데이터 또는 애플리케이션에 접근할 수 없게 만드는 공격방식
– 공격 대상 클라우드 서비스가 한정된 시스템 리소스를 과도하게 소비하도록 해 시스템 속도를 저하
– 합법적인 서비스 사용자가 서비스에 대한 접근성을 저하
– 네트워크 트래픽 분석 및 비즈니스 연속성 계획을 검토, 테스트할 것을 권장
• 공유 기술 취약점
– 인프라의 기반 구성 요소는 멀티 테넌트 아키텍처 또는 다중 고객 애플리케이션
– 강력한 격리 특성을 제공할 필요가 있으나 그렇지 않은 경우가 존재
– 이로 인해 모든 제공 모델에서 악용될 가능성이 있는 공유 기술 취약점이 발생
– 대표적인 예로 클라우드블리드(Cloudbleed) 취약점이 있음
– 모든 민감한 데이터를 암호화하고 민감도 수준에 따라 데이터를 분류할 것을 권고

• 스펙트라 멜트다운
– 스마트폰에서 서버에 이르기까지 모든 장치에 영향
– 스펙트라의 위협 특성은 클라우드 위협 목록에도 추가
– 애플리케이션 사이에 차단을 없애기 때문에 부채널 공격(side-channel attacks)을 허용
– 시스템에 액세스할 수 있는 공격자는 커널에 접근 가능
– 공격자가 게스트 가상머신의 관리자일 경우, 호스트 커널에 접근 가능
– 패치로 공격 차단이 가능하나 성능저하 우려
– CERT는 영향을 받은 모든 프로세서를 대체할 것을 권장
– 사례는 없으나 가능성을 매우 높게 보는 공격방식

• 클라우드 보안 이슈
– 공유자원 문제점
• 저장된 데이터의 정확한 위치를 확인하기 어려움
• 산재되어 있다는 점이 문제
• Public 클라우드의 경우 신뢰성과 안정성 확보 어려움
• VM 탈출/호핑/이미지 변조 위험성
• 하이퍼바이저 기반 루트킷 문제
– 기존의 보안 문제와 동일한 문제점
• 악의적 중간자에 의한 네트워크 트래픽 도청
• 서비스왜곡 및 웹서비스 언어 스캐닝
• 식별자 관리 익명화 및 접근 권한 변조
• DoS, DDoS 공격 등을 이용한 부하 증가
• 설계 결함 등에 따른 취약점
클라우드 보안 핵심 및 대응

• 기술적인 측면의 위협문제
– 가상화로 인한 보안문제
• 기존의 보안 문제들에 대해 가상화로 환경 변화 시 대응 방안의 변화
• 가상화 환경으로 인해 방어가 어려워지거나 파급효과가 커지는 문제 발생
– 하이퍼바이저 감염 위험
• 하이퍼바이저가 취약할 경우 위에서 동작하는 VM도 동시에 피해 가능성 발생
• 보안성이 낮을 경우 하이퍼바이저에 대한 권한 탈취에 대한 우려
• 호스트 OS의 감염으로 인한 하이퍼바이저 및 VM 전체 감염 확산의 가능성
– 가상머신 공격 경로
• 사용자의 가상머신이 상호 연결
• 패킷스니핑, 해킹, DDoS 공격, 악성코드 전파 등의 공격경로가 존재

• 기술적인 측면의 위협문제
– 공격자의 익명성으로 인한 탐지 문제
• 가상환경에서의 공격자는 파악이 어려움
• 기존의 보안기술로는 가상화 내부 영역에 대한 침입탐지가 어려움
– 가상머신의 이동성으로 인한 문제점
• 물리적 시스템의 문제 발생 시 가상머신의 이동 발생
• 가상머신의 이동으로 인한 감염확산 문제 발생
• 실시간 마이그레이션을 통해 악성코드가 다른 물리적 플랫폼으로 이동할 가능성 발생

• 기술적인 측면의 보안책
– 클라우드 보안 전략
• 공유 자원의 사용으로 인한 새로운 문제에 대해 보안 방식의 재구성 필요
– 전송 데이터의 보호
• IaaS 의 경우에는 스위치/라우터 레벨에서 VPN 사용
• SaaS, PaaS 의 경우 HTTPS (TLS) 를 이용한 통신으로 트래픽의 보안성 유지
– 데이터의 저장
• 클라우드 스토리지에서의 데이터 저장 시 암호화된 데이터 저장
• 데이터의 민감도와 공유여부, 규제 대상 등에 대한 접근제어 및 격리조치
• 사용자 개별단위의 암호화를 사용
• 산업 표준 대칭 암호화 알고리즘 활용으로 보안성 확보

• 기술적인 보안책
– 접근 및 인증
• 사용자 ID 인증
• 휴대폰 인증번화 입력과 유사한 개념으로 관리의 어려움 감소
• 로그데이터를 분리된 SIEM 에 전송해서 효과적인 대응을 모색
– VM 간의 독립성
• 사용자가 접근하는 VM간의 완벽한 독립성 제공
• 하이퍼바이저로 가상머신의 물리 자원에 대한 접근범위 제한
• 데이터 저장 시 암호화 및 삭제 후 남은 데이터 접근 차단
• 성능저하를 감수하더라도 TLS, SSH, VPN 을 활용한 트래픽 관리
– 침입 탐지
• 하이퍼바이저를 통해 각 가상머신의 내부 상태 분석 및 침입탐지
• 하이퍼바이저 상에서 IPS 기능 및 방화벽, 안티바이러스 등의 서비스 제공
• 별도의 특별한 권한을 가진 보안 전용의 가상머신에서 다른 가상머신 탐지
• 어플리케이션 설계 시 클라우드와 같은 공유 환경에 대한 종합적인 위협요소를 고려

• 개요
• 정의
– 보안서비스를 인터넷을 통해 On-Demand 형태로 제공하는 서비스 모델
– 인터넷을 통해 제공하는 “Managed Security Services(이하 MSS)”
• 서비스 특징
– Subscription 형태로 제공 및 과금 정책 사용
– On-Demand 방식이라 확장/축소가 자유로움
– 고객 사이트에서 별도의 설치 없이 인터넷 기반으로 서비스 제공
– 서비스 사업자는 글로벌 Node 구성을 통해 다수의 데이터센터 구성
– Proxy 및 멀티테넌시 기술 사용
• 장점
– 초기 투자비용 및 별도의 장비 없이 사용 가능
– 업데이트 및 유지관리 비용이 없음
– 내부 보안인력의 감소로 전체적인 TCO 절감이 가능
클라우드 보안서비스(SECaaS)

2.클라우드 보안 모델 (ZERO TRUST)

• 내부/외부망의 전통적인 통제 개념 소멸
• 믿지 말고 검증하라
제로 트러스트 모델 등장

EXT
F/W
Active
Directory
Front
End
443
53 and 443
Internal user
Database Server
Index, Query, Application,
Central Administration
Servers
Web Server
HWLB
FW
FW
(Domain Bound Servers)
Internal Network
DMZ
Zero Trust Model
Not
Trusted
EXT DMZ INT DMZ
Internal
user
External
user
Internet
SaaS
IaaS
Not
Trusted

Option #1
Network
Segmentation
Option #2
Software Defined
Perimeters
Option #3
Edge-based Identity
Aware
Proxies

3.클라우드 컨테이너 보안 및 심층방어

• 여러 계층으로 추상화 되고 다양한 파트(parts)로 이루어져 매우 복잡
– 컨테이너(container)
– 런타임 (run-time)
– 레지스트리(registry)
– 호스트/또는 게스트OS 오케스트레이션 엔진
(orchestration engine)
– 스토리지 시스템 (Storage System)
– 네트워크 오버레이 (network overlay)
– 컨테이너와 상호작용하는 기타 서비스와 리소스
(services and resource interact with container)
컨테이너 보안이 어려운 이유?

• 커널 공유
• privileged mode로 컨테이너 구동
• 컨테이너로 무엇을 할 수 있을지에 대한 느슨한 접근 제어 정책
• 이미지 취약점
• 컨테이너 이미지 하드 코딩
• 컨테이너 환경을 위한 강력한 보안 솔루션 부족
• 컨테이너 스프롤 (Container Sprawl )
Top Security Challenges
보안에 관심있다 말하고, 실제 투자는 zero
개발자의 보안 개념 부재 및 보안을 어떻게 해야 하는지 방법을 모름

• 도커 허브 상의 컨테이너는 안전하지 않다.
• 도커 허브의 약 1000개의 이미지의 20%는 취약
• 도커 허브의 약 1000개의 이미지는 root 패스워드가
부재
• 도커 허브의 top 10 이미지는 약 30여개 이상의 취약
점을 가짐
(ex : nodejs, nginx, Jenkins,postges 등)
Docker Hub 보안 이슈

• 컨테이너 이미지들을 보안 관리
• 컨테이너 이미지 레지스트리 보안 관리
• Root 권한으로 컨테이너 구동 금지
• 컨테이너들의 리소스 제한
• 컨테이너 런타임 보안 관리
• API 와 네트워크 보안
• 호스트 보안
• 컨테이너 관리 오케스트레이션 (management orachestraion ) 보안 관리
Container Security Best Practices

• Cound Native Compute Foundation (CNCF)를 관리를 위한 오케스트레이션 도구로 83%가
Kubernetes 를 활용한다는 설문 조사 결과.
Container Orchestration 시장 상황
• Kubernetes 를 어떻게 보안 할 것인가? Kubernetes Security Issue !!.

• Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE)
• 특징
• 쿠버네티스 기반의 컨테이너 오케스트레이션 서비스 ( 엔터프라이즈급 개발 친숙함)
• Fully managed
• CNCF 준수, 수정되지 않은 업스트립 kubernets 구현
• 통합된 프라이빗 레지스트리
• 모든 OCI 지역에서의 사용 가능
• 무엇이 장점인가?
• 빠른 마켓 진입
• 시간 절약
• 저렴한 비용
Introducing OKE

• DIY Kubernetes VS Oracle Kubernetes Engine (Container Engine for Kubernetes)
– 장점
• 빠른 배포
• 신뢰도 향상
• 낮은 리스크
• 혁신 가속화
Introducing OKE

• OKE Shared Responsibility Model
OKE Shared Responsibility Model

• Secure Infrastructure
– 인프라 컴플라이언스, 데이터 보안 , 운영 접근 보안 , 콘솔 & API 보안,
호스트보안, 네트워크 보안 , 데이터센터보안
• Resource Isolation
– Region(지역), Compartment(구획) , Availability Domain(가용도메인), Host(호스트)
• Security Controls
– OCI IAM policy , RBAC , Secure Key , 인증서 , 토큰 기반 클라스터 인증
Secure API server , Multi-factor Authentication (MFA)/OCI IAM
정시 CVE patches, OS updates , Kubernetes version upgrade
OKE Security Feature Categories

• Network Security
– 퍼블릭 IP가 없는 작업노드 (worker node)
– 클러스터 트래픽을 내부 트래픽으로 만 제한 (NAT 및 서비스 게이트 웨이를 트래픽 라우팅 지원 포함)
– 네트워크 수신 및 송신에 대한 세부정책
– 프라이빗 서브넷의 프라이빗 로드밸런서
– 보안제어 및 트래픽 필터링을 위한 수신 컨트롤러
– OCI Web Application Firewall(WAF)
• Data Encryption
– KMS , TLS , 블록 및 오브젝트 스토리지 미사용 데이터 암호화, OCI 레지스트리 서비스에서 컨테이너 이미지
전송 중 미사용 암호화
• Visibility & Audit
OKE Security Feature Categories

• Edge (엣지) 서버들은 공격자와 서버(orgin) 사이에 방어막으로 동작
심층방어 ( Defense in Depth )

• 셋업 / 활성화는 수분내에 가능
• 하드웨어 및 소프트웨어의 설치 및 구성은 불필요
심층방어 ( Defense in Depth )

• 클라우드 우선 설계
• 큐레이트와 자동화된 보안 제어
Intelligent Edge Security

ㅍ
Secure Container
➔ 하이퍼바이저, 게스트OS 필요
➔ 자원 효율성 낮음
➔ 커널 자원 공유
➔ 보안 위협 존재
Container vs. Containter on VM
Linux Kernel
Linux Kernel
Linux Kernel

runV + Cleaner = Kata
성능(부팅시간100ms)과 향상된 보안
기술적 중립성(technology-agnostic)
성능과 호환성 모두 뛰어난 사용자 경험(UX)제공
OCI 명세서, 쿠베네테스의 CRI와 호환가능하도록 구현
Kata Security Container

Secure Container
➔ 가벼운 커널 내장
➔ 커널 분리로 네임스페이스간 격리성 확보
Linux Kernel
Linux Kernel A Linux Kernel B Linux Kernel C

Secure Container

Secure and fast microVMs for
serverless computing
Kata Security Container 와 차이점? 호환성?
Kata Security Container vs. Firecracker

4.클라우드 보안 인증 및 프레임워크

• 클라우드 컴퓨팅 서비스 보안 인증제도
클라우드 보안 인증 및 프레임워크

• FedRAMP

• ISMS / ISMS-P

– 클라우드 컴퓨팅서비스(이하 ‘클라우드 서비스‘) 보안인증제도는 클라우드 서비스 제공자가 제
공하는 서비스에 대해 “클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률＂ 제 23조 제 2항에
따라 정보보호 기준의 준수여부 확인을 인증기관에 요청하는 경우 인증기관이 이를 평가/인증
하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 하는 제도
– 인증 마크의 사용은 KISA의 인증서 및 인증표시에 관한 세부 관리 규정에 따라 엄격하게 관리
– 인증 마크는 원본을 확대/축소 가능, 인증마크를 구분할 수 없을 정도로 작은 크기로 사용은 불
가
– 인증마크의 색상은 원본 이미지의 색상을 따르되 불가피한 경우 흑백 사용 가능

– 2018.6 SaaS 인증 추가

• 보안 평가/인증체계
• 클라우드 서비스 보안 평가/인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회,
기술 자문기관, 신청기관, 이용자로 구분
• 정책기관은 과학기술정보통신부, 평가/인증기관은 한국인터넷진흥원, 공공부문 기술자문기관은
국가보안기술연구소에서 수행

• 보안 평가/인증체계

2-2. 평가/인증대상 및 범위

• 보안 평가/인증 대상

• 클라우드 서비스 유형 및 평가대상

• SaaS 평가/인증 대상

• 보안 평가/인증범위
• 보안 서비스 (SecaaS)의 경우 주요 보안 기능이 정보보호 제품 유형(24종)에 해당하는지 확인
하고 도입인증 요건을 만족하는 버전의 보안기능으로 서비스를 구축

• 보안 평가/인증범위

• 평가/인증 절차

• 평가단계

• 행정/공공기관 민간 클라우드 이용 가이드라인

5.클라우드 보안 솔루션

• 클라우드 보안 컨설팅
– 취약점 진단
– 개인정보보호 컨설팅 ( GDPR 이슈 등 대비 )
– 보안관제
• WAF
• EDR
• SDP
• 인증, 접근제어 솔루션
• 암호화 솔루션 ( 네트워크 ,데이터 저장 등)
• 멀티클라우드 보안솔루션 ( 가시성, 취약점 관리 등)
• 컨테이너 보안
• CASB / API 보안 솔루션
• SECaaS
• APT / 랜섬웨어 방지 솔루션
• 위협 인텔리전스
• 데이터/문서보안 솔루션
• 이메일/어플리케이션 보안
클라우드 보안 솔루션

클라우드 보안솔루션
다층
방어
APT 솔루션
ETP
DNS보안
백신
Email보안
URL 필터 안
티 스파이웨어
IPS
FW
CASB
EDR
시그니처 기반 취
약점 차단
부정메일의차단 첨부
파일의차단
첨부 파일 차단 알려
지지 않은 말웨어 차
단
말웨어를 전달하는
사이트통신을 블록
알려진 말웨어 차단
말웨어 감염 후의
통신 포트 기반 차
단
악성 사이트로의 통
신 차단
ETP Proxy에서파일 페이
로드인스펙션을 실시
말웨어 전달 차단
알려진 말웨어 차단
말웨어 감염 후의
표적형메일 Watering hole 공격
알려진IP 차단
ETP Proxy에서파일 페이
로드인스펙션을 실시
알려진 악성
도메인 차단
알려진 악성
도메인 차단
C&C 통신
(HTTP/HTTPS)
C&C 통신
(HTTP/HTTPS 외)
암호화 인프라에
대한 통신 차단
랜섬웨어
도메인단위의쿼리 분석
으로탐지
파일공유/채팅
Inbound 방어 Outbound 방어
부정한 행위 탐지 부정한 행위 탐지

6.클라우드 컴퓨팅 도입시 법적 이슈

• 클라우드컴퓨팅(Cloud Computing) 산업은 ICT 산
업의 핵심 요소로 정착되고 있고 미래 ICT 산업
발전의 분수령이 될 중요한 산업 분야로 평가
• 클라우드컴퓨팅의 발전 및 이용을 촉진하기 위한
각종 시책의 추진 근거를 마련
• 클라우드컴퓨팅 산업의 초기단계에 있는 우리나
라의 글로벌 경쟁력을 강화
• 이용자가 클라우드 컴퓨팅서비스를 안전하게 이
용할 수 있는 환경을 조성
클라우드의 주요법적 쟁점

클라우드 컴퓨팅 발전법의 특별법적 지위
• 특별법 난리 문제가 문제시 되고 있는 현재의 입법체계상 클라우드 발전법에 대해서도 같은
비판이 존재
• 규제 측면에서 정보통신망법, 개인정보보호법 등 다른 법률과의 충돌 및 중복 문제를 해결
할 필요가 있고, 진흥 측면에서도 소프트웨어산업진흥법과 중복될 여지도 있음
• 제4조(다른 법률과의 관계) 이 법은 클라우드컴퓨팅의 발전과 이용 촉진 및 이용자 보호에 관하
여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보 보호에 관하여는 「개인정보 보호법」,
「정보통신망 이용촉진 및 정보 보호 등에 관한 법률」 등 관련 법률에서 정하는 바에 따른다.
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 4조
• 클라우드 컴퓨팅법이 우선 적용 ( 예외, 개인정보보호에 관한 사항)

서비스 계약 체결 단계
• 클라우드 컴퓨팅 서비스 계약은 당사자 들이 대면하여 체곌하기 보다는 온라인에서 비대면 저촉으로 체결되는 경우가
대부분이므로 전자약관의 형태임.
• 전자약관을 열람 할 수 있는 링크를 걸어 두거나, 연결화면을 제시, 약관의중요사항을 굵은 글자나 큰 글자로 표시하는
등 별도의 조치를 통하여 이용자가 그 존재를 쉽게 인식할 수 있는 상태로 게시하여야 함
• 약관의 규제에 관한 법률에서 규정하고 있는 불공정약관에 해당 되지 않도록 해야 함
• 제24조(표준계약서) ① 과학기술정보통신부장관은 이용자를 보호하고 공정한 거래질서를 확립하
기 위하여 공정거래위원회와 협의를 거쳐 클라우드컴퓨팅서비스 관련 표준계약서를 제정ㆍ개정
하고, 클라우드컴퓨팅서비스 제공자에게 그 사용을 권고할 수 있다. 이 경우 클라우드컴퓨팅서비
스 제공자, 이용자 등의 의견을 들을 수 있다. <개정 2017. 7. 26.>
• ② 과학기술정보통신부장관이 제1항에 따라 표준계약서를 제정ㆍ개정하려는 경우에는 미리 방송
통신위원회의 의견을 들어야 한다. <개정 2017. 7. 26.>

서비스 계약 체결 단계
• 클라우드 서비스 이용시 서비스 협약서에 보안 및 프라이버시 관련 의무조항을 포함하
여 계약상 요구할 사항을 명시하여야 함
• <계약 명시 사항>
– 서비스 제공자와 이용자의 역할과 책임, 서비스 환경에 대한 상세 설명, 직원에 대한 검사 및 관
리를 포함한 정책/절차/표준, 서비스 이용 수준 ( SLA ) 등과 비용
– 클라우드 서비스 제공자가 서비스 수준을 만족하는지 평가하기 위한 절차와 독립적 검사, 문제
발생시 개선책, 양자간 커뮤니케이션을 담당할 클라우드 서비스 제공자의 담당자
– 데이터에 대한 소유권, 이용자 데이터의 클라우드 환경 내 위치, 보안 및 프라이버시, 성능 투명
성, 서비스 가용성과 업무 연속성 옵션, 데이터 백업과 복구, 사고 대응 등
– 클라우드 서비스 이용 기관/기업 등은 계약단계에서 개인정보보의 위험 요소를 분석할 필요

지속적인 성능평가
• 클라우드 서비스의 품질 성능과 그 적정 수준 (SLA : Service Level Agreement)
• 서비스 도중 장애 발생 시간이 월 누적 3.6 시간 이내로 유지
• 데이터 백업/복구 및 보안에 있어서는 데이터 손상 또는 유실에 대비하여 백업이 99%
이상 되어야 함

개인정보의 취급 위탁에 따른 위탁자의 관리/감독책임
• 클라우드 컴퓨팅 서비스 제공자에게 아웃소싱한 IT업무가 실패하여 서비스가 중단되
거나, 데이터가 분실/훼손된 경우 법적 책임이 발생
• 클라우드 컴퓨팅 서비스 이용기관 및 기업은 정보통신망법과 개인정보보호상 위탁자
의 지위
• 클라우드 컴퓨팅 서비스의 규성상 특수성과 서비스 형태를 고려한 위탁자의 관리 및
감독 책임에 따른 면책 규정의 입법이 필요

개인정보의 국외 이전에 따른 법적 쟁점
제26조(이용자 보호 등을 위한 정보 공개) ① 이용자는 클라우드컴퓨팅서비스 제공자에게 이용자 정
보가 저장되는 국가의 명칭을 알려 줄 것을 요구할 수 있다.
② 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제2호에 따른 정보통신
서비스를 말한다. 이하 제3항에서 같다)를 이용하는 자는 정보통신서비스 제공자(「정보통신망 이용촉
진 및 정보보호 등에 관한 법률」 제2조제3호에 따른 정보통신서비스 제공자를 말한다. 이하 제3항에
서 같다)에게 클라우드컴퓨팅서비스 이용 여부와 자신의 정보가 저장되는 국가의 명칭을 알려 줄 것
을 요구할 수 있다.
③ 과학기술정보통신부장관은 이용자 또는 정보통신서비스 이용자의 보호를 위하여 필요하다고 인정
하는 경우에는 클라우드컴퓨팅서비스 제공자 또는 정보통신서비스 제공자에게 제1항 및 제2항에 따
른 정보를 공개하도록 권고할 수 있다. <개정 2017. 7. 26.>
④ 과학기술정보통신부장관이 제3항에 따라 정보를 공개하도록 권고하려는 경우에는 미리 방송통신
위원회의 의견을 들어야 한다. <개정 2017. 7. 26.>

침해사고 등의 통지
제25조(침해사고 등의 통지 등) ① 클라우드컴퓨팅서비스 제공자는 다음 각 호의 어느 하나에 해당하
는 경우에는 지체 없이 그 사실을 해당 이용자에게 알려야 한다.
1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제7호에 따른 침해사고(이하 "침해사고"
라 한다)가 발생한 때
2. 이용자 정보가 유출된 때
3. 사전예고 없이 대통령령으로 정하는 기간(당사자 간 계약으로 기간을 정하였을 경우에는 그 기간
을 말한다) 이상 서비스 중단이 발생한 때
② 클라우드컴퓨팅서비스 제공자는 제1항제2호에 해당하는 경우에는 즉시 그 사실을 과학기술정보
통신부장관에게 알려야 한다. <개정 2017. 7. 26.>
③ 과학기술정보통신부장관은 제2항에 따른 통지를 받거나 해당 사실을 알게 되면 피해 확산 및 재발
의 방지와 복구 등을 위하여 필요한 조치를 할 수 있다. <개정 2017. 7. 26.>
④ 제1항부터 제3항까지의 규정에 따른 통지 및 조치에 필요한 사항은 대통령령으로 정한다.

제17조(통지의 내용 및 방법) ① 클라우드컴퓨팅서비스를 제공하는 자(이하 "클라우드컴퓨팅서비스
제공자"라 한다)는 법 제25조제1항 각 호의 어느 하나에 해당하는 경우에는 지체 없이 다음 각 호의
사항을 해당 이용자에게 알려야 한다. 다만, 제2호의 발생 원인을 바로 알기 어려운 경우에는 나머지
사항을 먼저 알리고, 발생 원인이 확인되면 지체 없이 해당 이용자에게 알려야 한다.
1. 발생 내용
2. 발생 원인
3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황
4. 클라우드컴퓨팅서비스 이용자(이하 "이용자"라 한다)의 피해 예방 또는 확산 방지 방법
제16조(통지가 필요한 클라우드컴퓨팅서비스의 중단 기간) 법 제25조제1항제3호에서 "대통령령으로
정하는 기간"이란 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
1. 클라우드컴퓨팅서비스의 중단 기간이 연속해서 10분 이상인 경우
2. 클라우드컴퓨팅서비스의 중단 사고가 발생한 때부터 24시간 이내에 클라우드컴퓨팅서비스가 2회
이상 중단된 경우로서 그 중단된 기간을 합하여 15분 이상인 경우
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령 (16조,17조,18조)

5. 담당부서 및 연락처
② 클라우드컴퓨팅서비스 제공자는 제1항에 따른 통지를 전화, 휴대전화, 우편, 전자우편, 문자메시지,
클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방법 중 어느 하나 이상의 방법으로 하여야
한다. 다만, 클라우드컴퓨팅서비스 접속화면을 통하여 알리는 경우에는 15일 이상 게시하여야 한다.
③ 천재지변이나 그 밖의 불가피한 사유로 제1항에 따른 통지가 곤란한 경우에는 「신문 등의 진흥에
관한 법률」 제2조제1호가목에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상
공고하는 것으로 통지를 갈음할 수 있다.
④ 제3항에 따라 공고한 클라우드컴퓨팅서비스 제공자는 천재지변이나 그 밖의 불가피한 사유와 공
고 내용을 지체 없이 문서(전자문서를 포함한다)로 과학기술정보통신부장관에게 통보하여야 한다.
<개정 2017. 7. 26.>
⑤ 클라우드컴퓨팅서비스 제공자는 법 제25조제2항에 따라 같은 조 제1항제2호에 따른 이용자 정보
의 유출 사실을 과학기술정보통신부장관에게 알릴 때에는 다음 각 호의 사항을 포함하여야 한다.
<개정 2017. 7. 26.>
1. 유출된 이용자 정보의 개요(파악된 경우에 한정한다)
2. 유출된 시점과 그 경위
3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황

제18조(피해 확산 방지 등을 위한 조치) 과학기술정보통신부장관은 법 제25조제3항에 따라 다음 각
호의 조치를 할 수 있다. <개정 2017. 7. 26.>
1. 유출사고 등의 원인분석을 위한 자료의 보전ㆍ제출 요구 및 현장 조사
2. 유출사고의 복구 및 재발 방지를 위한 기술과 인력의 지원
3. 피해 확산 및 재발 방지와 복구를 위하여 필요한 조치의 이행 여부 확인 및 개선 요구
4. 그 밖에 피해 확산 및 재발 방지와 복구를 위하여 필요한 안내ㆍ홍보 등 필요한 조치

서비스 종료단계
제27조(이용자 정보의 보호) ① 클라우드컴퓨팅서비스 제공자는 법원의 제출명령이나 법관이 발부한
영장에 의하지 아니하고는 이용자의 동의 없이 이용자 정보를 제3자에게 제공하거나 서비스 제공 목
적 외의 용도로 이용할 수 없다. 클라우드컴퓨팅서비스 제공자로부터 이용자 정보를 제공받은 제3자
도 또한 같다.
② 클라우드컴퓨팅서비스 제공자는 이용자 정보를 제3자에게 제공하거나 서비스 제공 목적 외의 용
도로 이용할 경우에는 다음 각 호의 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어
느 하나의 사항이 변경되는 경우에도 또한 같다.
1. 이용자 정보를 제공받는 자
2. 이용자 정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 이용자 정보의 항목
4. 이용자 정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 (27조)

서비스 종료단계
③ 클라우드컴퓨팅서비스 제공자는 이용자와의 계약이 종료되었을 때에는 이용자에게 이용자 정보를
반환하여야 하고 클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보를 파기하여야 한다. 다
만, 이용자가 반환받지 아니하거나 반환을 원하지 아니하는 등의 이유로 사실상 반환이 불가능한 경
우에는 이용자 정보를 파기하여야 한다.
④ 클라우드컴퓨팅서비스 제공자는 사업을 종료하려는 경우에는 그 이용자에게 사업 종료 사실을 알
리고 사업 종료일 전까지 이용자 정보를 반환하여야 하며 클라우드컴퓨팅서비스 제공자가 보유하고
있는 이용자 정보를 파기하여야 한다. 다만, 이용자가 사업 종료일 전까지 반환받지 아니하거나 반환
을 원하지 아니하는 등의 이유로 사실상 반환이 불가능한 경우에는 이용자 정보를 파기하여야 한다.
⑤ 제3항 및 제4항에도 불구하고 클라우드컴퓨팅서비스 제공자와 이용자 간의 계약으로 특별히 다르
게 정한 경우에는 그에 따른다.
⑥ 제3항 및 제4항에 따른 이용자 정보의 반환 및 파기의 방법ㆍ시기, 계약 종료 및 사업 종료 사실의
통지 방법 등에 필요한 사항은 대통령령으로 정한다.
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 (27조)

계약의 종료 단계
제19조(계약 종료 또는 사업 종료 사실의 통지 등) ① 클라우드컴퓨팅서비스 제공자는 법 제27조제3
항 및 제6항에 따라 이용자와의 계약이 종료되기 30일 전까지 다음 각 호의 사항을 이용자에게 알려
야 한다.
1. 계약 종료 일시
2. 이용자 정보의 반환을 요구할 수 있다는 사실
3. 계약 종료일 전까지 반환받지 아니하거나 반환을 원하지 아니하면 이용자 정보가 파기된다는 사실
4. 이용자 정보의 반환 방법 및 절차
• 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령 (제19조)

② 클라우드컴퓨팅서비스 제공자는 그 사업의 전부 또는 일부를 종료하려는 경우에는 법 제27조제4
항에 따라 이용자에게 사업 종료일부터 30일 전까지 다음 각 호의 사항을 알리고 사업 종료일까지 해
당 클라우드컴퓨팅서비스 제공자의 인터넷 홈페이지에 게시하여야 한다.
1. 종료하려는 사업의 내용 및 그 사유
2. 사업 종료일
3. 이용자 정보의 반환을 요구할 수 있다는 사실
4. 사업 종료일 전까지 반환받지 아니하거나 반환을 원하지 아니하면 이용자 정보가 파기된다는 사실
5. 이용자 정보의 반환 방법 및 절차

③ 클라우드컴퓨팅서비스 제공자는 제1항 및 제2항에 따른 통지를 전화, 휴대전화, 우편, 전자우편,
문자메시지 또는 이와 유사한 방법 중 어느 하나 이상의 방법으로 하여야 한다.
④ 클라우드컴퓨팅서비스 제공자는 법 제27조제3항 및 제4항에 따라 계약 및 사업 종료일 전까지 이
용자 정보를 반환하여야 하며, 이용자 정보를 반환할 때에는 정보의 활용이 가능한 상태로 반환하여
야 한다.
⑤ 클라우드컴퓨팅서비스 제공자가 법 제27조제3항 및 제4항에 따라 이용자 정보를 파기할 때에는
정보의 복원이 불가능한 방법으로 영구 삭제하여야 한다.
⑥ 「전자정부법」 제2조제3호에 따른 공공기관이 클라우드컴퓨팅서비스를 이용하려는 경우에는 법
제27조제5항에 따라 제1항부터 제5항까지에서 규정한 계약 및 사업 종료 사실의 통지 방법ㆍ시기,
이용자 정보의 반환 및 파기 방법ㆍ시기 등에 대하여 행정안전부장관이 정한 기준에 따라 클라우드
컴퓨팅서비스 제공자와 계약을 체결하여야 한다. <개정 2017. 7. 26.>

cloud security-suk kim-2022-10-14-Busan.pdf

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to cloud security-suk kim-2022-10-14-Busan.pdf

Similar to cloud security-suk kim-2022-10-14-Busan.pdf (20)

More from suk kim

More from suk kim (10)

cloud security-suk kim-2022-10-14-Busan.pdf