Cloud Computing Security #1

클라우드 컴퓨팅 보안과 관련하여 몇차례에 걸쳐 정리해 포스팅을 진행하려고 한다.


1. 클라우드 컴퓨팅 보안의 주요 이슈 사항

- 서비스 가용성
: 내가 원하는 데이터를 내가 원할 때 볼 수 없으면?
침해사고나 장애, 천재지변시 서비스 연쇄중단 및 대규모 피해 발생.

- 서비스 기밀성 및 무결성 제공
: 내 데이터의 유출? 손실? 항상 open된 서비스인데...
만약 다수의 이용자, 기업정보 등을 보유한 클라우드 서버내 중요 데이터들이 암호화 되지 않고 운영중에 해킹사고가 일어난다면?

- 개인정보보호
: 개인정보의 제 3자 위탁 저장여부, 클라우드 서비스 사업자의 관리 미비로 인한 노출?

- 클라우드 컴퓨팅 서버 서비스 보안
: 클라우드 컴퓨팅 서버 및 네트워크 기술적 보안
하이퍼바이저 패치, 계정 하이제킹? 다중 역할 특성으로 인한 데이터 유출?
서비스 제공자 입장에서 사용자의 어디까지 관리 통제해야 하나?

- 컴플라이언스 이슈
: 법규 및 규제 적용 논란, 누구의 책임? 수사할때 거기에 있는 내 정보가 원치않게 유출?

- 라이센스/저작권 이슈

- 클라우드 환경의 가상화 플랫폼 자체적인 보안 이슈
: 해당 가상화 게스트 OS/하이퍼바이저의 0day, Inter-Cloud 간의 도청, 해킹.
경쟁사 클라우드 서버를 파악한 후, 동일 클라우드 서버에 가입해 정보 탈취?

- 클라우드 컴퓨팅 서비스를 해킹에 이용
:CaaS : Crimeware as a Service
해커가 정보 수집 및 배포, DDoS 공격, C&C 서버로 클라우드 컴퓨팅 서비스를 이용




2. 클라우드 컴퓨팅 서비스의 종류/분류

Private <-------------------------------------------------------------------> Public

Enterprise          3rd Party                 Hosted                      Users
 itself                 Datacenter

대고객으로 제공하는 public cloud에서 서비스 제공 업체의 보안 위협으로 인해,
업체 자체적인 클라우드 컴퓨팅 서버를 운영하는 private cloud로 발전하고 있음.



3. 클라우드 컴퓨팅 보안 사고

: 주로 H/W나 시스템 오류, 천재지변, 관리 실수, 해킹 등으로 인한 서비스 불능 및 데이터 손실 및 유출이 주요 보안 이슈이나, 은닉성 등의 이유로 최근 해커가 해킹으로 정보 수집 및 악성 파일 배포에 클라우드 컴퓨팅 서비스를 이용하는 것이 자주 발견되고 있다.


2008년

(1) 아마존 - 인증요청 장애 (인증서버 다운)
(2) 미디어맥스 - 폐업으로 인한 사용자 데이터 손실

2009년

(3) 이베이 - 페이팔 지불결제 시스템 장애 (2hr)
(4) 구글 - Gmail 서비스 장애 (2hr)
                구글앱스 관리상 오류로 인한 장애(24hr)
(5) MS - 스마트폰 사이드킥 서비스 장애

※ 2009년 6월 영국 클라우드 서비스가 사용하는 가상머신 관리 S/W의 0day 취약점으로 인해 관리자 권한 획득 후 10만 고객 웹 사이트를 삭제하는 보안 사고로, 클라우드 컴퓨팅 서비스 관리 S/W의 보안의 중요성이 대두됨.

2010년

(6)MS - BPOS서비스 환경 설정에 대한 관리 미비 인해 클라우드 상의 기업정보가 타인에게 열람됨

2011년

(7)구글 - 시스템 오류로 인한 Gmail 50만명의 메일 계정, 메일 내용 및 주소록 삭제 장애 발생
              일본 대지진의 영향으로 해저 케이블 손상으로 서비스 장애 발생
(8)아마존 - 4월 버지니아주 DC 전체 장애로 EC2 서비스 중단 및 오류 발생(11hr)
                  8월 벼락으로 인한 정전사고로 EC2 장애 발생
(9)애플 - MobileMe 마이그레이션에 따른 서버 과부하로 인한 iCloud 접속 장애 발생
(10)후지쯔 - 클라우드 서비스 DoS 공격으로 인한 장애 발생

※2011년 4월 21일 아마존의 EC2 장해로 인해 처음으로 클라우드 서비스의 신뢰도에 의문이 제기됨.
--> public cloud 서비스의 경우 제어권이 클라우드 컴퓨팅 사업자에게 있는데, 데이터센터의 장해이므로 사용자가 직접 확인이 불가능. 아마존은 8시간동안 장해 공지를 하지 않았고, 고객이 자체 장해 복구를 할 수 없었음.

※2011년 5월 소니의 네트워크를 해킹해 1억명 이상의 고객정보를 훔칠 때 해커가 아마존 클라우드 서비스를 이용. 해커는 EC2에 가명으로 가입해 가상 서버를 대여해 소니 플레이스테이션을 해킹함으로써, 클라우드 컴퓨팅서비스가 익명/허위가입 가능으로 인해 해커의 은닉공간으로 사용될 수 있다는 지적이 재기됨.


2012년

(11)KT - uCloud 서버 스위치 오동작, 스토리지 오동작으로 인한 서비스 장애
(12)FirstServer - 시스템 업그레이드 도중 오류 발생으로 인해 약 6000개 회사들의 데이터 손실
(13) 아마존 - 폭풍우로 인한 정전사고로 인한 EC2 장애(인스타그램, 넥플릭스, 핀터레스트, 헤로쿠 등 서비스 중단)
(14) 애플 - Mat Honnan이 애플이 관리적 부주의(사회공학적인 방법을 이용)를 이용해 iCloud의 인증 정보를 획득 후, "Find My ~" 툴을 이용해 타인의 개인정보 삭제 가능 공개
(15) DropBox - 일반 사용자 ID/PW로 DropBox에 침입하여 직원 계정에 있던 사용자 이메일 명단을 유출, 사용자들에게 스팸메일 발송. DropBox에서 해킹 사실을 인정하고 인증 강화.

※ 2012년 8월 CRISIS라는 악성코드가 Adobe Flash Installer를 가장하여 MAC OS, Windows, Windows Mobile 상의 VMWARE Image에 직접 악성코드를 삽입 시도, 가상화 공간에서의 악성코드 감염 가능성 확인.

※ 2012년 6월 링크드인, 8월 드랍박스의 해킹 소식에 클라우드 컴퓨팅 서비스 사용자들이 자신의 정보에 대한 보안 우려.

2013년
(16) Evernote - 해킹으로 인해 사용자명, 전자메일 주소, 암호화된 패스워드가 노출되어 5000만명의 사용자 대상으로 강제 패스워드 리셋 시킴.(2월)

※ 2013년 3월에는 해커가 Evernote를 악성코드의 C&C 서버로도 이용하여 공격 인프라에 사용함, 악성코드명 BKDR_VERNOT.A(TrendMicro)


4. 클라우드 서비스 보안 관련 기타 참고 문서들

1) KISA, 방통위, 클라우드 서비스 정보보호 안내서

2) 방통위, 클라우드 SLA가이드 및 개인정보보호수칙 자료(10.5)

3) NIST, Guidlies on Security and Privacy in Public Cloud Computing, SP 800-144(2011.12)

4) NIST, Guide to Security for Full Virtualization Technologies, SP 800-125 (2011.01)

5) CSA, Top Threats to Cloud Computing (2010.03)

6) ITU-T FG Cloud, Cloud Security(2011.12)

2014 IT trend & implications

2013년도 말부터 현재까지 2014년의 IT 동향에 대한 예측 보고서가 여기저기서 많이 나왔는데, 읽어보다 보면 각자의 사고 방향성 및 폭에 따라 다를 뿐 거의 언급되는 대부분의 키워드들은 비슷한 것 같다.

뭐 언급되는 키워드들은 Social, Mobile, Cloud computing, Wearable Computer, IoT(Internet of Things), Big Data, Security(Esp. Privacy)... 정도?

실제로 발전해 나가는 IT 방향성을 놓고 보았을 때, 무선을 통한 접속량이 이미 유선을 통한 접속량을 넘어선 지 오래이고, (스마트폰 내 탑재된 기능으로 인해 더 그런듯) 좀 더 smart한 서비스를 원하는 소비자들을 위해, 여러 모바일 기기간의 데이터 sharing(Cloud Computing)및 대용량 데이터 저장은 이제 필수적인 서비스가 되어가고 있고, 사용자들의 사용과 보안 이슈 등이 덧붙여져, 향후 private/기업 클라우드 컴퓨팅이 점점 더 강세가 되어갈 것이다. 또한 사용자들의 사용 로그(via Social) 분석을 통한 좀 더 Smart 서비스 제공을 위해, 사용자들의 모든 정보들을 분석하여 서비스를 제공하려고 할 텐데, 이와 같은 대용량 데이터의 빠른 분석(Big Data) 기술 발전과 더불어서, 아마 현재는 개인정보라 보지 않았던 사용자들의 여러가지 정보들의 노출로 인한 개인정보보호 (Privacy) 이슈도 증가할 것이라고 본다.

(여담이지만, 나 모르게 내가 휴대폰에서 검색한 키워드, 사용한 서비스, 각 시간대 별 나의 위치정보, 웹 사이트, 사용 시간 등의 노출이 서로 엮여가며 장기간 쌓여지고 분석이 되면... 뭐 구글 같은데서는 나에 대해 거의 모든 것을 다 알 수 있지 않을까. -_-; 사실 그런 이유로 나는 편의성이고 뭐고 간에, 폰에서는 자동으로 저장되게 되어 있는 위치정보등은 지도 등의 앱 빼고는 다 꺼놓고 있고, 웹은 크롬 브라우저의 secret mode를 이용하고 있다. -_-)

또한 현재 스마트폰, 스마트TV, 스마트 Car, google glass 정도였던 제품들이 아마 점점 더 많은 모바일 가전 제품으로 발전해 나갈 것이다. (IoT) 실제로 최근에 본 뉴스 중에서는 smart underwear(from Mashable)라는 것도 나왔더라. 스마트 속옷이 도대체 무슨 일을 해 줄지는 상상에 맡긴다. (여성용 속옷에 특정 기능을 추가하고, 그 실행 버튼은 남친이 가지고 있... -_-;; )

그리고 모바일에 대한 접근이 WIFI뿐 아니라 추가적인 근거리 무선 통신인 RFID, Bluetooth, NFC, .. 등을 이용한 다양한 융합 서비스가 나오게 될 것이며(Mobile),물론 이와 같은 IoT 융합 서비스가 이제 막 개발되려는 단계이기 때문에 아마 이런 서비스 플랫폼을 잡기 위한 경쟁이 치열할 것이다.

현재까지는 구글의 안드로이드가 IoT 쪽에서는 모바일 플랫폼으로써의 양적인 우위를 점하고 있지만, 보안 이슈가 존재(심각!)하기 때문에 충분히 다른 형태의 플랫폼이 나타날 수 있고...
(잘 알려진 안드로이드이기 때문에, 만약 공격자가 해당 안드로이드 플랫폼의 0 day 취약점을 발견해서, 안드로이드 플랫폼이 탑재된 Smart Car를 운전중인 사람에게 특정 악의적인 패킷을 날려 차 사고를 낼 수도 있을지 모른다...;; 덜덜덜)
그 외에 서비스 측면에서는 페이스북 등의 글로벌 소셜 플랫폼, 라인이나 위챗 등의 모바일 메신져 플랫폼등도 많이 사용되고 있으니, 이에 대한 경쟁도 심화되겠지.

무엇보다 기술의 발전들에 앞서 중요한 부분은... 이제 앞으로는 사람들의 일상생활에 IT가 깊숙히 관여하게 될 것이기 때문에(IoT), 신규 플랫폼들이나 서비스들에 대한 보안이 무척이나 중요한 화두가 될 것이 분명하다. 그리고 또한 사용자들이 많은 IT기기를 생활에서 사용하게 되면서, 어디까지의 나의 개인 정보를 나의 편의를 위해 서비스 제공자에게 허용해야 할 것인가... 그리고 자신 모르게 수집해 간 나의 개인정보를 국가나 더 상위의 Big Brother 누가 어디까지 나를 관찰하고 감시할 것인가... 그 정보들이 해커에게 가면 어떠한 새로운 위협 요소가 생겨날 것인가... 에 대한 추가적인 고민이 필요한 시점이라고 생각한다.


+. 발전 기술이나 새로운 부분이 아니기 때문에 적지 않았지만.. 국내의 보안(해킹과 방어)의 입장에서 보면, 아마도 사회 infra 이나 주요 site에 대한 해킹 시도(APT, DoS 공격) 역시 계속 될 것 같고, (북한이 배후라면 2014년이라고 계속 안할리가 없음) 인터넷이 세계적으로 잘 발달되었고, 이미 해킹 인프라가 탄탄하게 구축되어 있기 때문에 역시 일반 사용자들 PC에 대한 공격을 통한 금전적 이득을 취하는 것 역시 계속 될 것이고, (특히 게임 아이템 거래 등의 2차 작업을 하다, 금융 서비스를 이용한 바로 돈을 갈취하는 공격 맛을 보았기 때문에 금융권 공격은 계속 될 듯) 아마도 공격은 PC에서 스마트폰으로 점점 확대되어 갈게 뻔하다. 또한, 뭐... 오늘도 뉴스에 나왔지만, 외부에 의한 공격 뿐 아니라 내부자(혹은 협력사 직원 등)에 의한 고객정보 유출 등의 이슈도 계속 될 것이다.

그나저나 보안이라는 분야는 참 재미있는게, 할 수록 점점 더 할게 많아진다. 기술 발전이 엄청나게 다양해 지고 있고, 또 각각의 분야에서 엄청 깊숙한 기술력을 요하도록 변하고 있는데.. 보안이라고 하는 것은 정말 엄청나게 다양한 분야를 모두 다 관여해야 하고, 또 한가지 깊은 기술에 대한 보안 뿐 아니라 다른 분야들까지 모두 다 바라봐야만 신규 융합산업의 *위험요소*를 바라볼 수 있으니......

어째 처음 보안을 처음 접했을 때.. 보안의 특성상 개발, 운영, Compliance(법률 및 규정), 인력관리(심리), 거기에 해킹/보안 기술까지... 하면 할수록 너무 알아야 하고, 배워야 할 게 많아서 좀 당황했었는데, 11년이상 지난 지금에도 뭘 좀 알았다는 느낌보다는 해야 겠다고 생각되는게 한 천만배쯤 늘어난 것 같다. (뭐, 아직도 할 게 많으니 좋은 거라고 생각하자... ㅎㅎ)