‘CISO 다수가 모르거나 간과하는’ 클라우드 보안 문제 8가지
‘CISO 다수가 모르거나 간과하는’ 클라우드 보안 문제 8가지
오늘날 일반적인 기업은 다수의 클라우드 공급업체를 활용하고 있는 가운데, 잘 알려지지 않은 몇 가지 주요 보안 문제를 살펴본다.
www.ciokorea.com
- 임시 리소스는 생각보다 더 큰 위협
- 임시 리소스는 수명이 짧아 보안팀이 과소평가하기 쉽지만, 악의적인 활동의 진입점이 될 수 있음
- 클라우드에서는 IT 인벤토리 핑계가 통하지 않음
- 클라우드 환경에서는 API를 통해 인벤토리를 쉽게 관리할 수 있어, 이를 소홀히 하면 보안 문제를 초래할 수 있음
- 클라우드 청구서가 공격 추적에 유용할 수 있지만 주의가 필요
- 클라우드 요금 변동은 공격의 징후일 수 있으므로, 지속적인 모니터링이 필요
- 기업의 IDP 전략이 부실할 가능성이 높음
- IDP 장애 시 대체할 수 있는 백업 전략이 부족하면, 서비스 중단이 길어질 위험이 있음
- 완벽한 대처가 어려운 SaaS의 보안 문제
- SaaS 애플리케이션의 보안 허점은 쉽게 간과될 수 있으며, 이는 조직의 보안 위험을 크게 증가시킬 수 있음
- 댕글링 DNS 포인터(Dangling DNS pointer)가 문제 소지를 가짐
- 클라우드의 동적 특성으로 인해 DNS 포인터 문제를 남기기 쉬워, 공격자가 이를 악용할 수 있음
- API 접근성이 보안 사고로 쉽게 이어짐
- 로컬 API 키의 잘못된 관리로 인해, 사용자 해고 후에도 보안 위험이 지속될 수 있음
- IMDSv2: 무지가 클라우드를 망칠 수 있음
- 많은 조직이 여전히 취약한 IMDSv1을 사용하고 있으며, 이를 최신 버전으로 업그레이드하지 않으면 보안 위협이 지속됨
- 이러한 문제들은 CISO들이 클라우드 보안을 강화하기 위해 반드시 고려해야 할 중요한 요소들로, 각 항목에 대한 철저한 점검과 개선이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 보안뉴스/전자신문_해커 “법무법인 로고스의 데이터, 5BTC에 다크웹에서 판매중” (4) | 2024.09.06 |
|---|---|
| 통신3사 인터넷 접속장애…아이피타임·머큐리 공유기서 오류 - 아이티데일리 (0) | 2024.09.06 |
| 아이티데일리_[초점] IT 시스템 연계 통합의 새 트렌드 ‘iPaaS’ (0) | 2024.08.29 |
| 보안뉴스_제로트러스트 구현의 성공 조건 2가지, SIEM과 XDIR (0) | 2024.08.29 |
| 보안뉴스_2024년 상반기 디도스 공격 건수 전년 동기대비 46% 증가 (6) | 2024.08.28 |