[클라우드 보안] SaaS 타깃 APT 방어②
상태바
[클라우드 보안] SaaS 타깃 APT 방어②
  • 김선애 기자
  • 승인 2019.07.15 09:00
  • 댓글 0
이 기사를 공유합니다

클라우드에 공격 거점 만드는 사이버 범죄자…APT 공격 방어 방안 마련해야

[데이터넷] 클라우드 보안 문제가 가장 눈에 띄게 드러나는 지점은 SaaS 애플리케이션이다. SaaS는 사용자가 ID/PW를 이용해 직접 접속하기 때문에 계정을 탈취한 공격자가 무단으로 침입할 수 있으며, 클라우드의 중요 데이터를 탈취하고 연결된 다른 클라우드 및 온프레미스 시스템으로 침투해 공격 범위를 확대해 나갈 수 있다.

CSA의 ‘클라우드 컴퓨팅에 대한 12가지 주요 위협: 산업 인사이트 보고서’에서 클라우드를 노리는 APT 공격에 대해 경고하며 “APT 공격을 통해 클라우드 내부로 침입한 공격자는 데이터센터 네트워크에서 횡으로 이동하며 정상적인 네트워크 트래픽 사이에 섞여 목표를 달성한다”고 설명했다.

SaaS 타깃 APT 공격을 방어하기 위해서는 사용자 계정 관리를 강화하고 SaaS 취약점을 상시 점검해 제거해 공격면을 줄여나가야 한다. 클라우드 사업자가 제공하는 보안 기술을 사용하는 것도 좋지만, 써드파티 보안 솔루션을 이용해 여러 클라우드 환경에서도 일관적으로 적용되는 보안 정책을 적용하는 것도 필요하다.

멀티 클라우드 전반에서 잘못된 설정이나 구성으로 인해 침입 지점이 발생하거나 장애가 일어나지 않도록 점검해야 하며, 자동화된 보안 설정으로 사람의 실수에 의한 리스크를 없애야 한다.

▲클라우드 사용 시 사용자 경험에 영향을 주는 최대 요인은(자료: 지스케일러, 테크밸리데이트)

SaaS에 대한 APT 공격을 방어하기 위해서는 취약점 제거, 사용자 계정 관리, 스팸·피싱 차단, 내부정보 유출 방지, 데이터 암호화 등의 기술이 필요하다. 체크포인트 ‘클라우드가드 SaaS’는 글로벌 위협 인텔리전스와 샌드박스, 행위분석 등의 기술을 이용해 SaaS의 위협을 감지하고 차단한다. 클라우드가드 SaaS는 SaaS 서비스 앞에 보안 게이트웨이를 설치하고 제로데이 공격 방어, DLP, 보안 정책 통제 등을 제공한다. 클라우드 접근 보안 중개(CASB) 기능도 제공해 SaaS 애플리케이션의 모든 위협을 통제한다.

한승수 체크포인트코리아 이사는 “체크포인트는 공격이 일어나기 전에 막는 데 초점을 맞추고 있으며, 클라우드에서도 선제방어가 가능한 정책을 만들고 있다. 클라우드를 통해 내부 중요 인프라까지 위협이 확장되지 않도록 SaaS 애플리케이션을 향한 모든 위협을 통제할 수 있는 고도화된 보안 기능을 제공한다”고 말했다.

SaaS·컨테이너까지 보호

트렌드마이크로의 ‘클라우드 앱 시큐티리(CAS)’는 SaaS 애플리케이션 보안 뿐 아니라 컨테이너 보안까지 아우르는 보안 역량을 제공한다. CAS는 구글 클라우드 플랫폼, 쿠버네티스 플랫폼 보안, 구글 쿠버네티스 엔진(GKE)과 지스위트 지메일에 통합된 컨테이너 이미지 스캐닝의 가상환경을 보호한다. CAS는 가상머신 탐지와 가시화, 보안 자동화를 구현해 섀도우 IT에 배포된 가상머신을 제거하고 허용되지 않은 클라우드 사용을 제한한다.

쿠버네티스 플랫폼 보안 런타임 중에는 트렌드마이크로 딥시큐리티 IPS가 적용돼 무결성 모니터링과 로그 감사를 수행하며, 쿠버네티스 헬름 차트처럼 배포되는 컨테이너 이미지 스캐닝으로 GKE, 애저 쿠버네티스 서비스(AKS), 쿠버네티스용 아마존 엘라스틱 컨테이너 서비스(EKS) 등의 보안 배포를 간소화한다. 한편 트렌드마이크로는 클라우드 호스트 보안 솔루션 ‘딥시큐리티’에 컨테이너 이미지에서 취약점을 찾아 개선시키는 ‘스마트체크’를 포함시켜 컨테이너 보안을 한 차원 높였다.

장성민 한국트렌드마이크로 상무는 “컨테이너에 보안 취약점이 없다고 안심해서는 안 된다. 이미 지난해부터 도커 취약점이 잇달아 발견되면서 보안 경각심이 높아지고 있다. 따라서 컨테이너 개발 시 데브옵스 팀에서 취약점을 살펴보고, 배포 이후에도 취약점을 찾는 방법으로 데브시크옵스를 완성해야 한다”고 말했다.

주니퍼는 ‘스카이ATP’를 통해 멀티 클라우드 전반에서 APT 공격을 탐지·차단한다. 차세대 방화벽 SRX와 통합되고 머신러닝을 이용해 심층 검사와 우회공격을 차단한다. 더불어 멀티클라우드 환경에서 실행되는 애플리케이션의 위험을 최소화하는 ‘콘트레일 시큐리티(Contrail Security)’를 이용해 애플리케이션 트래픽 플로우를 감지하고, 다양한 환경 전반에 걸쳐 정책 확산의 필요성을 경감시킨다. 정책을 한 번만 정의하고 모든 정책을 균등하게 자동 배포할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.