클라우드 보안(흔히 클라우드 컴퓨팅 보안이라 불림)은 클라우드에 저장된 인프라, 애플리케이션 및 데이터를 위협과 사이버 공격으로부터 방어하는 것을 의미합니다. 클라우드 보안은 기존 사이버 보안과 동일한 목표를 지니지만, 관리자가 제3자 서비스 제공업체의 인프라 내에 위치한 자산을 보호해야 한다는 점에서 차이가 있습니다.
조직은 컴퓨팅 비용을 절감하고 변화하는 비즈니스 요구를 충족시키기 위해 새로운 컴퓨팅 자원을 신속하게 배포하기 위해 클라우드 컴퓨팅을 사용합니다. 클라우드 기반 기술 덕분에 기업은 이제 그 어느 때보다 신속하게 이해관계자와 고객에게 접근할 수 있으며, 이는 빠른 시장 진출 가능성을 제공합니다. 클라우드 컴퓨팅이 많은 효율성을 창출한 반면, 2024년 클라우드 보안 침해 상위 10대 사례 목록이 보여주듯 일부 취약점도 발생시켰습니다. Singularity™ Cloud Security from SentinelOne와 같은 클라우드 네이티브 보안 솔루션은 이러한 침해를 방지하고자 하는 조직에 통합된 실시간 대응 방안을 제공합니다.
상위 10대 클라우드 보안 침해 사례와 여기서 얻을 수 있는 핵심 교훈에 대해 자세히 알아보십시오.
클라우드 보안 침해란 무엇인가?
클라우드 보안 침해는 권한이 없는 사람이 클라우드에 저장된 사적인 데이터와 민감한 개인 정보에 접근할 때 발생합니다. 이는 다음과 같은 다양한 상황에서 발생할 수 있습니다:
- 부주의 (예: 공공장소에서 계정을 열어두는 경우. 클라우드의 원격 접근 용이성으로 인해 발생 가능성이 높음)
- 해커에 의한 애플리케이션 프로그래밍 인터페이스(API) 오용
- 파일, 비밀번호 및 기타 보안 정보를 제한 없이 공유하는 경우(관리자가 클라우드 기반 플랫폼에서 공유 데이터를 쉽게 추적할 수 없음)
- 클라우드 작업 엔지니어의 실수로 파일 보안이 침해되거나 데이터가 노출되는 경우.
클라우드 보안 침해 상위 10건
다음은 2024년에 발생한 클라우드 보안 침해 사례 상위 10가지입니다:
#1 피싱 공격
클라우드 보안 침해 사고 중 첫 번째는 피싱입니다. 피싱은 누군가의 주의를 끌기 위해 가짜 이메일이나 메시지로 시작됩니다. 이 메시지는 신뢰할 수 있는 출처에서 온 것처럼 보입니다. 속아 넘어가면, 피해자는 종종 가짜 웹사이트에서 개인 정보를 유출할 수 있습니다. 또한, 피해자의 컴퓨터가 악성 코드를 다운로드할 수도 있습니다.
공격자들은 피해자의 신용카드나 개인 정보를 이용해 돈을 벌기만 할 수도 있습니다. 때로는 직원들에게 피싱 이메일을 보내 로그인 자격 증명이나 기타 중요한 정보를 획득하기도 합니다. 특정 기업을 대상으로 정교한 공격을 수행하기 위해 이런 방법을 사용합니다. 그리고 기업들이 이메일 발신자의 진위 여부를 확인하기 위해 DMARC 검사기를 사용하지 않으면 쉽게 피해자가 됩니다. 사이버 범죄자들은 랜섬웨어나 고급 지속적 위협(APT)과 같은 더 위험한 공격의 출발점으로 피싱을 자주 활용합니다.
#2 악의적인 사이버 공격
직원들이 회사를 해치려 한다는 생각은 누구도 하고 싶지 않지만, 안타깝게도 매년 수많은 클라우드 보안 침해 사고를 초래하는 현실입니다.
때로는 IT 전문가나 시스템 관리자처럼 시스템에 대한 특권 접근 권한을 가진 사람이 가장 유력한 가해자가 됩니다. 지식이 풍부하고 악의적인 관리자는 백도어를 열어두거나 네트워크에 악성 소프트웨어를 설치하여 데이터 도난을 가능하게 할 수 있습니다. 심지어 일부 직원들은 악성코드를 직접 설치하여 수백만 달러의 손실을 초래하기도 합니다.
이러한 클라우드 보안 침해를 방지하는 최선의 방법은 직원들을 주시하며 불만이나 불평의 징후를 포착하는 것입니다. 원격 접근 가능성을 차단하려면 직원이 퇴사할 때마다 모든 네트워크 접근 권한과 비밀번호를 즉시 취소해야 합니다.
#3 중간자(Man-in-the-Middle, MitM) 공격
중간자 공격에서 공격자는 두 당사자 사이에 자신을 위치시켜 당사자들이 모르는 사이에 민감한 정보를 획득합니다. 이러한 클라우드 보안 침해를 수행하기 위해 다음과 같은 기법이 사용될 수 있습니다:
- 네트워크 인프라 취약점 악용.
- 스위치 또는 라우터 침해.
- 악성코드를 이용한 장비 제어.
웹사이트의 HTTPS나 네트워크 연결용 VPN과 같은 안전하고 암호화된 통신 경로를 사용하여 Man-in-the-Middle(MITM) 공격로부터 자신을 보호하십시오. 또한 기업용 소프트웨어를 정기적으로 업데이트하면 MitM 공격의 위험을 줄일 수 있습니다.
#4 사회공학
해커들은 사회공학 전술을 활용하여 사람들을 속이고 영향을 주어 개인 정보를 공개하거나 보안을 위협하는 행동을 하도록 만듭니다. 사회공학의 주요 목표는 사람들을 속여 다음을 유도하는 것입니다:
- 개인 정보를 자발적으로 공유하게 하는 것.
- 컴퓨터 시스템이나 데이터에 대한 불법적인 접근을 허용하게 하는 것.
다른 해킹 기술과 달리, 사회공학은 신뢰, 호기심 및 기타 인간적 특성을 이용하기 위해 인간 심리에 초점을 맞춥니다. 사회공학적 공격은 물리적으로 접근이 금지된 영역이나 정보에 접근하거나 기술을 활용하는 것을 포함합니다. 해커는 대상이 동료처럼 신뢰할 수 있는 사람이라고 생각하도록 속여 이를 달성할 수 있습니다.
사회공학적 위협으로부터 방어하기 위해서는 강력한 보안 정책, 지식 및 교육이 필요합니다. 예기치 않은 민감한 정보 요구 사항을 인지하고 경계해야 합니다.
#5 내부자 위협
내부자 위험은 회사 시스템, 네트워크 또는 데이터에 대한 승인된 접근 권한을 가진 자가 그 권한을 악용하여 발생하는 클라우드 보안 침해입니다. 이러한 사람들은 회사의 파트너, 계약자, 또는 전·현직 직원일 수 있습니다.
데이터 도난, 유출 또는 시스템 장애는 고의적이든 우발적이든 권한을 남용하는 개인에 의해 발생합니다. 다음은 내부자 위협의 일반적인 유형입니다:
- 데이터 절도
- 사보타주
- 무단 접근
- 사기
내부자 위협는 내부자가 민감한 정보, 조직의 보안 절차 및 취약점에 자주 접근할 수 있기 때문에 위험합니다. 따라서 외부 침입자보다 더 빠르게 탐지를 피하고 보안 조치를 우회할 수 있습니다.
#6 도청 공격
사이버 보안 침해와 관련하여, 스니핑(sniffing) 또는 스누핑(snooping) 공격이라고도 하는 도청 공격은 큰 문제입니다. 비밀번호, 신용카드 번호 및 기타 민감한 데이터를 포함한 귀하의 정보는 한 장치에서 다른 장치로 전송되는 과정에서 이러한 공격을 통해 쉽게 도난당할 수 있습니다.
이러한 공격은 특히 효과적인데, 이는 전송 중 어떠한 형태의 경고도 유발하지 않으면서 사용자가 데이터를 전송하거나 수신하는 동안 보안이 취약한 네트워크 통신을 이용하여 데이터에 접근하기 때문입니다.
공격자가 여러분을 표적으로 삼을 수 있는 몇 가지 방법은 다음과 같습니다:
- 발신자와 수신자 사이의 통신 링크를 도청하기 위해 감청합니다. 이를 위해 무선 주파수 전송이나 활성/비활성 전화선, 전기선, 접지되지 않은 전기 배관과 같은 유선 통신이 사용될 수 있습니다.
- 통화를 녹음하기 위해 전화기에 도청 장치를 설치하는 것을 도청 장치라고 합니다. 이 장치는 전화기가 발신 또는 수신 통화를 위해 들릴 때를 추적하기 위해 트리거를 사용하며 통화가 끝나면 자동으로 꺼집니다.
#7 계정 탈취
직원의 약점을 악용하는 것은 내부 클라우드 보안 침해를 유발하는 가장 흔한 방법 중 하나입니다. 많은 사람들이 내부 위협이 초래하는 위험과 해커들의 공격 방식에 대해 잘 알지 못합니다.
예를 들어, 많은 직원들은 전화로 필요한 정보만 제공하기를 원합니다. 사이버 공격자의 피싱 전화에 속아 넘어간 일부 사람들은 심지어 자신의 인증 정보까지 유출하기도 합니다. 또한 그들은 피싱 이메일을 식별하지 못하며, 특히 현재 진행 중인 프로젝트 정보나 특정 팀원을 언급하는 이메일을 구분하지 못합니다.
모든 직원이 해커들이 내부에서 정보를 조작하고 획득하는 다양한 방법을 인지하지 못한다면, 귀사의 비즈니스는 필연적으로 위험에 노출됩니다.
직원 계정이 해킹당할 수 있습니다. 일단 해킹이 발생하면, 해커가 귀사의 보안 데이터에 접근할 가능성이 높아집니다. 각 직원 계정이 업무 수행에 필요한 정보에만 접근 권한이 부여되어야 합니다.
#8 유출된 정보
직원들은 의도적이든 무의식적이든 휴대폰, 카메라, USB 데이터 드라이브에 정보를 수집합니다.
클라우드 보안 침해를 완화하기 위해 모든 기업은 어떤 종류의 컴퓨터가 네트워크에 접근할 수 있는지, 특정 유형의 데이터가 언제 다운로드될 수 있는지에 대한 지침을 정의하는 소프트웨어를 활용해야 합니다. 직원들에게 정책과 그 근거를 알리는 것이 필수적입니다.
그렇지 않으면 직원들은 이를 우회하거나 무시하거나 완전히 오해하는 방법을 찾아낼 것입니다. 실제로 내부 위협의 가장 빈번한 원인 중 하나인 인적 오류가 버진 미디어의 최근 침해 사고의 원인이었습니다.
Gmail과 같은 웹 기반 이메일 서비스 및 데이터 저장 서비스에 대한 접근을 제한하는 것을 고려해 볼 수 있습니다. 직원들이 인터넷 계정에 저장된 개인 데이터에 접근할 수 있다면 내부 보안 위협은 통제 불능 상태가 됩니다.
또한 일부 기업은 승인된 고객이 허가된 기기를 사용하는 경우를 제외하고는 무선 접근을 금지하기 위해 네트워크를 잠그는 방식을 선택합니다. 블루투스 데이터 유출 여부를 파악하는 것은 매우 어려울 수 있습니다.
#9 악성 콘텐츠 다운로드
직원들은 근무 중 개인적인 목적으로 인터넷을 사용합니다. 업무 중 휴식 시간에 소셜 미디어를 확인하거나 간단한 게임을 할 수 있습니다.
이와 같은 경로를 통해 악성코드와 바이러스 위험이 존재하며, 직원들은 종종 의도치 않게 네트워크 접근을 허용합니다.
클라우드 보안 침해로부터 회사의 안전을 보장하려면 IT 시스템을 정기적으로 업데이트하고 수정하십시오.
정기적인 보안 업데이트만으로는 부족합니다. 정기적인 프로그램 업데이트와 안티바이러스 소프트웨어의 다중 방어 계층화가 필요합니다. 단일 방어 계층에만 의존하지 마십시오.
#10 안전하지 않은 애플리케이션
시스템은 매우 안전하지만 외부 프로그램이 문제를 일으키고 있을 가능성이 높습니다.
타사 서비스는 내부 웹사이트 보안을 심각하게 저해할 수 있습니다. 어떤 프로그램을 설치하기 전에, 팀이 신중하게 논의하고 해당 프로그램이 네트워크에 적합한지 평가해야 합니다.
클라우드 보안 침해를 완화하려면, 직원이 비즈니스에 유용하다고 생각하는 프로그램을 마음대로 다운로드하지 못하게 하십시오. 모든 애플리케이션은 사용 전에 반드시 IT 부서의 승인을 받아야 한다는 규칙을 정하십시오.
CNAPP 마켓 가이드SentinelOne은 클라우드 보안 침해로부터 어떻게 보호할 수 있나요?
SentinelOne은 첨단 AI 기반 자율적 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) (CNAPP)을 제공하여 모든 규모와 업종의 기업을 정교한 위협으로부터 보호합니다. 이는 알려진 위협과 알려지지 않은 위협 모두를 포함한 모든 위험 및 보안 문제를 제거하는 데 도움을 줍니다.
주요 기능은 다음과 같습니다:
- SentinelOne은 원클릭 위협 대응을 통해 클라우드 오설정을 자동으로 수정합니다. 리소스 전반의 오설정, 측면 이동 경로, 영향 범위를 해결하며 이를 그래프로 표시합니다.
- 멀티 클라우드 구성, 비밀 정보, 취약점 등에 대한 즉각적인 가시성을 확보합니다. SentinelOne의 독보적인 공격적 보안 엔진(Offensive Security Engine)은 증거 기반의 검증된 악용 경로를 생성합니다. 암호 스캔 기능은 코드 저장소에서 750종 이상의 비밀 정보 및 클라우드 자격 증명을 탐지하고 무단 클라우드 접근을 차단합니다.
- SentinelOne의 런타임 CWPP 에이전트는 랜섬웨어, 제로데이, 파일리스 공격 등을 탐지하고 차단합니다. AWS, Azure, Google Cloud 및 프라이빗 클라우드를 포함한 14가지 주요 Linux 배포판과 20년 이상의 Windows Server를 지원합니다.
- 새롭거나 기존 클라우드 서비스의 지속적인 보안 상태를 모니터링하여 보안 문제와 권장 관행에 집중하고 보안 기본값을 알립니다.
- IaC(Infrastructure as a Code) 보안: IaC 구성 및 구현을 CIS 벤치마크 및 PCI-DSS와 같은 다른 표준과 비교합니다. 하드코딩된 비밀 정보가 포함된 병합 및 풀 요청을 방지하기 위해 CI/CD 통합 지원을 활용할 수 있습니다. SentinelOne의 IaC 보안은 프로덕션 전에 문제를 식별하고 확대되기 전에 제거합니다.
- SentinelOne은 알려진 CVE(10개 이상의 출처에서 포괄적으로 수집한 인텔리전스)가 있는 클라우드 리소스/자산을 찾아내고 다양한 취약점을 처리합니다. Singularity Cloud Detection Security(CDS)는 시그니처를 넘어선 악성코드 스캔을 제공하며, 독자적인 정적 AI 엔진을 사용하여 악성 파일을 거의 실시간으로 자동 격리합니다. 파일 스캔은 로컬에서 수행될 수 있으며, 확인되기 전에는 민감한 데이터가 환경을 벗어나지 않습니다.
- 클라우드 보안 상태 관리(CSPM) (CSPM): CSPM은 규정 준수를 간소화하며 2,000개 이상의 내장 점검 항목으로 클라우드 감사를 효율화합니다. 또한 쿠버네티스 시크릿 상태 관리(KSPM) 기능을 통합합니다.
- 그래프 익스플로러: 리소스, 비즈니스 서비스, 이미지 간의 관계를 시각화하여 클라우드 조사를 더욱 간소화합니다.
- 에이전트 없는 애플리케이션용 소프트웨어 구성 요소 목록(SBOM) 보고 및 가상 머신 스냅샷용 보안 취약점 테스트.
결론
클라우드 보안 침해는 해커들이 개인 데이터에 접근하는 새로운 방법을 발견함에 따라 빈번히 증가하고 있습니다. 다행히도 올바른 정책과 규칙을 마련하면 클라우드 컴퓨팅에서 발생하는 대부분의 내부 보안 침해는 쉽게 방지할 수 있습니다. 데이터를 정기적으로 백업하고, 직원에게 필요한 경우에만 접근 권한을 부여하십시오. 접근 수준에 관계없이 모든 직원을 위한 명확한 지침을 수립하십시오.
클라우드 보안 침해 FAQ
클라우드 보안 침해는 누군가가 귀하의 클라우드 리소스나 데이터에 무단 접근할 때 발생합니다. 공격자는 자격 증명, 잘못 구성된 설정 또는 패치되지 않은 취약점을 통해 침투할 수 있습니다. 일단 내부로 들어오면, 그들은 민감한 정보를 훔치거나 삭제하거나 조작할 수 있습니다. 침해는 서비스 중단, 개인 기록 노출, 또는 범죄자가 귀하의 계정으로 악성 워크로드를 실행하도록 허용할 수 있습니다.
저장소 버킷을 공개 상태로 방치하거나, 기본 설정을 사용하거나, 암호화를 비활성화하는 등의 실수는 공격자에게 문을 열어줍니다. 패치되지 않은 가상 머신과 구식 소프트웨어는 악용을 초래합니다. 지나치게 관대한 네트워크 규칙이나 IAM 정책은 너무 많은 사람이 리소스를 보거나 변경할 수 있게 합니다. 설정 시 작은 실수도 발견되지 않으면 큰 보안 취약점으로 이어집니다.
피싱이나 유출을 통해 공격자가 사용자 이름과 비밀번호를 탈취하면 실제 사용자로 로그인할 수 있습니다. 다단계 인증이 없으면 도난당한 비밀번호만으로도 문이 열립니다. MFA는 일회용 코드 같은 두 번째 확인 단계를 추가하므로 비밀번호만으로는 충분하지 않습니다. MFA를 생략하면 범죄자들이 클라우드 계정에 훨씬 쉽게 침투할 수 있습니다.
부실하게 관리된 신원 정보와 지나치게 광범위한 권한은 공격자가 내부로 침투한 후 원활한 경로를 제공합니다. 사용자나 서비스가 기본적으로 '관리자' 권한을 부여받으면 침입자가 자유롭게 이동할 수 있습니다. 키 회전이나 역할 감사를 소홀히 하면 유출된 자격 증명이 더 오래 유효하게 유지됩니다. 누가 무엇을 할 수 있는지 엄격히 통제하면 침해 사고가 확대되기 전에 차단할 수 있습니다.
잘못 구성된 방화벽이나 네트워크 보안 그룹은 인터넷에 포트를 완전히 노출시킬 수 있습니다. '공개'로 설정된 스토리지나 데이터베이스는 누구나 데이터를 읽고 쓸 수 있게 합니다. 적절한 권한 확인 없이 노출된 API 엔드포인트는 공격자가 접근해서는 안 되는 서비스를 호출할 수 있게 합니다. 이러한 실수는 범죄자들이 자동으로 탐색하고 악용하는 쉬운 표적이 됩니다.
개인 식별 정보—이름, 이메일, 신분증 번호—가 위험 목록의 최상위를 차지합니다. 금융 기록, 결제 카드 정보, 건강 데이터가 그 뒤를 바짝 따릅니다. 소스 코드나 설계도와 같은 지적 재산권도 공격자의 표적이 됩니다. 침해 사고 발생 시, 기업 평판을 훼손하거나 추가 공격을 유발할 수 있는 모든 데이터는 주요 탈취 대상이 됩니다.
보안 침해는 대기업부터 중소기업까지 모두를 위협합니다. 스타트업은 서둘러 서비스를 잘못 구성하는 경우가 많습니다. 여러 팀을 관리하는 대기업은 오래된 계정이나 사용되지 않는 자원을 놓칠 수 있습니다. 공공 부문과 의료 기관은 배포를 서두를 때 피해를 입습니다. 엄격한 정책 없이 클라우드에서 빠르게 움직이는 모든 조직은 노출 위험에 처합니다.
SentinelOne CNAPP는 클라우드 계정을 지속적으로 스캔하여 위험한 설정, 보호되지 않은 데이터 저장소, 신원 관리 허점을 탐지합니다. 모든 리소스를 매핑하고 잘못된 구성을 표시하므로 공격자가 침투하기 전에 수정할 수 있습니다. 위협이 발생하면 CNAPP은 단계별 해결 가이드를 제공하고 규정 준수 상태를 추적하여 탐지 및 대응에 소요되는 평균 시간을 단축합니다.
SentinelOne의 클라우드 에이전트는 새로 열린 포트나 공개 버킷과 같은 보안 기준선으로부터의 편차를 감시합니다. 모범 사례 규칙에 대한 검사를 실행하고 즉시 알림을 제공합니다. 내장된 플레이북을 통해 수동 티켓 처리 없이도 버킷 재잠금이나 위험한 IAM 역할 취소 같은 수정 사항을 자동 적용할 수 있습니다.
SentinelOne은 중앙 콘솔을 통해 AWS, Azure, GCP 및 온프레미스 클러스터에 걸쳐 모든 클라우드 자산을 표시합니다. 실시간 위험 점수, 감사 추적 기록, 변경 내역을 한 곳에서 확인할 수 있습니다. 문제가 발생하면 정확한 리소스까지 드릴다운하여 자동 또는 원클릭 수정 사항을 적용하고 모든 환경에서 규정 준수를 모니터링할 수 있습니다.
