클라우드 컴퓨팅 보안과 관련하여 몇차례에 걸쳐 정리해 포스팅을 진행하려고 한다.
1. 클라우드 컴퓨팅 보안의 주요 이슈 사항
- 서비스 가용성
: 내가 원하는 데이터를 내가 원할 때 볼 수 없으면?
침해사고나 장애, 천재지변시 서비스 연쇄중단 및 대규모 피해 발생.
- 서비스 기밀성 및 무결성 제공
: 내 데이터의 유출? 손실? 항상 open된 서비스인데...
만약 다수의 이용자, 기업정보 등을 보유한 클라우드 서버내 중요 데이터들이 암호화 되지 않고 운영중에 해킹사고가 일어난다면?
- 개인정보보호
: 개인정보의 제 3자 위탁 저장여부, 클라우드 서비스 사업자의 관리 미비로 인한 노출?
- 클라우드 컴퓨팅 서버 서비스 보안
: 클라우드 컴퓨팅 서버 및 네트워크 기술적 보안
하이퍼바이저 패치, 계정 하이제킹? 다중 역할 특성으로 인한 데이터 유출?
서비스 제공자 입장에서 사용자의 어디까지 관리 통제해야 하나?
- 컴플라이언스 이슈
: 법규 및 규제 적용 논란, 누구의 책임? 수사할때 거기에 있는 내 정보가 원치않게 유출?
- 라이센스/저작권 이슈
- 클라우드 환경의 가상화 플랫폼 자체적인 보안 이슈
: 해당 가상화 게스트 OS/하이퍼바이저의 0day, Inter-Cloud 간의 도청, 해킹.
경쟁사 클라우드 서버를 파악한 후, 동일 클라우드 서버에 가입해 정보 탈취?
- 클라우드 컴퓨팅 서비스를 해킹에 이용
:CaaS : Crimeware as a Service
해커가 정보 수집 및 배포, DDoS 공격, C&C 서버로 클라우드 컴퓨팅 서비스를 이용
2. 클라우드 컴퓨팅 서비스의 종류/분류
Private <-------------------------------------------------------------------> Public
Enterprise 3rd Party Hosted Users
itself Datacenter
대고객으로 제공하는 public cloud에서 서비스 제공 업체의 보안 위협으로 인해,
업체 자체적인 클라우드 컴퓨팅 서버를 운영하는 private cloud로 발전하고 있음.
3. 클라우드 컴퓨팅 보안 사고
: 주로 H/W나 시스템 오류, 천재지변, 관리 실수, 해킹 등으로 인한 서비스 불능 및 데이터 손실 및 유출이 주요 보안 이슈이나, 은닉성 등의 이유로 최근 해커가 해킹으로 정보 수집 및 악성 파일 배포에 클라우드 컴퓨팅 서비스를 이용하는 것이 자주 발견되고 있다.
2008년
(1) 아마존 - 인증요청 장애 (인증서버 다운)
(2) 미디어맥스 - 폐업으로 인한 사용자 데이터 손실
2009년
(3) 이베이 - 페이팔 지불결제 시스템 장애 (2hr)
(4) 구글 - Gmail 서비스 장애 (2hr)
구글앱스 관리상 오류로 인한 장애(24hr)
(5) MS - 스마트폰 사이드킥 서비스 장애
※ 2009년 6월 영국 클라우드 서비스가 사용하는 가상머신 관리 S/W의 0day 취약점으로 인해 관리자 권한 획득 후 10만 고객 웹 사이트를 삭제하는 보안 사고로, 클라우드 컴퓨팅 서비스 관리 S/W의 보안의 중요성이 대두됨.
2010년
(6)MS - BPOS서비스 환경 설정에 대한 관리 미비 인해 클라우드 상의 기업정보가 타인에게 열람됨
2011년
(7)구글 - 시스템 오류로 인한 Gmail 50만명의 메일 계정, 메일 내용 및 주소록 삭제 장애 발생
일본 대지진의 영향으로 해저 케이블 손상으로 서비스 장애 발생
(8)아마존 - 4월 버지니아주 DC 전체 장애로 EC2 서비스 중단 및 오류 발생(11hr)
8월 벼락으로 인한 정전사고로 EC2 장애 발생
(9)애플 - MobileMe 마이그레이션에 따른 서버 과부하로 인한 iCloud 접속 장애 발생
(10)후지쯔 - 클라우드 서비스 DoS 공격으로 인한 장애 발생
※2011년 4월 21일 아마존의 EC2 장해로 인해 처음으로 클라우드 서비스의 신뢰도에 의문이 제기됨.
--> public cloud 서비스의 경우 제어권이 클라우드 컴퓨팅 사업자에게 있는데, 데이터센터의 장해이므로 사용자가 직접 확인이 불가능. 아마존은 8시간동안 장해 공지를 하지 않았고, 고객이 자체 장해 복구를 할 수 없었음.
※2011년 5월 소니의 네트워크를 해킹해 1억명 이상의 고객정보를 훔칠 때 해커가 아마존 클라우드 서비스를 이용. 해커는 EC2에 가명으로 가입해 가상 서버를 대여해 소니 플레이스테이션을 해킹함으로써, 클라우드 컴퓨팅서비스가 익명/허위가입 가능으로 인해 해커의 은닉공간으로 사용될 수 있다는 지적이 재기됨.
2012년
(11)KT - uCloud 서버 스위치 오동작, 스토리지 오동작으로 인한 서비스 장애
(12)FirstServer - 시스템 업그레이드 도중 오류 발생으로 인해 약 6000개 회사들의 데이터 손실
(13) 아마존 - 폭풍우로 인한 정전사고로 인한 EC2 장애(인스타그램, 넥플릭스, 핀터레스트, 헤로쿠 등 서비스 중단)
(14) 애플 - Mat Honnan이 애플이 관리적 부주의(사회공학적인 방법을 이용)를 이용해 iCloud의 인증 정보를 획득 후, "Find My ~" 툴을 이용해 타인의 개인정보 삭제 가능 공개
(15) DropBox - 일반 사용자 ID/PW로 DropBox에 침입하여 직원 계정에 있던 사용자 이메일 명단을 유출, 사용자들에게 스팸메일 발송. DropBox에서 해킹 사실을 인정하고 인증 강화.
※ 2012년 8월 CRISIS라는 악성코드가 Adobe Flash Installer를 가장하여 MAC OS, Windows, Windows Mobile 상의 VMWARE Image에 직접 악성코드를 삽입 시도, 가상화 공간에서의 악성코드 감염 가능성 확인.
※ 2012년 6월 링크드인, 8월 드랍박스의 해킹 소식에 클라우드 컴퓨팅 서비스 사용자들이 자신의 정보에 대한 보안 우려.
2013년
(16) Evernote - 해킹으로 인해 사용자명, 전자메일 주소, 암호화된 패스워드가 노출되어 5000만명의 사용자 대상으로 강제 패스워드 리셋 시킴.(2월)
※ 2013년 3월에는 해커가 Evernote를 악성코드의 C&C 서버로도 이용하여 공격 인프라에 사용함, 악성코드명 BKDR_VERNOT.A(TrendMicro)
4. 클라우드 서비스 보안 관련 기타 참고 문서들
1) KISA, 방통위, 클라우드 서비스 정보보호 안내서
2) 방통위, 클라우드 SLA가이드 및 개인정보보호수칙 자료(10.5)
3) NIST, Guidlies on Security and Privacy in Public Cloud Computing, SP 800-144(2011.12)
4) NIST, Guide to Security for Full Virtualization Technologies, SP 800-125 (2011.01)
5) CSA, Top Threats to Cloud Computing (2010.03)
6) ITU-T FG Cloud, Cloud Security(2011.12)
