안내사항 > 보안 업계 뉴스
보안 업계 뉴스
IT 보안 업계의 소식들과 KMS Technology의 소식들을 알아보시기 바랍니다. 솔루션 최신 업데이트 기능 소개 등 KMS Technology에서만 확인할 수 있는 콘텐츠도 확인해보시기 바랍니다.
KMS Technology는
SW보안 및 품질 분야 전 세계1위 솔루션을
국내에 공급하며 기술지원하고 있습니다.
국내 대기업, 중소기업 및 공공기관 등
다양하고 풍부한 레퍼런스를 보유한만큼
기업별 여건에 맞는 구축 및 운영 방안을 제시해드립니다.
“클라우드 보안, 무엇을 어떻게 해야 하나”(7편)
이번 여기서는 지난 6편에 이어 클라우드 환경이 가지고 있는 여타 보안상의 문제점 중 클라우드 환경에서 사용하는 시크릿 정보의 노출로 인한 공격에 대한 방어에 대해 좀더 자세하게 살펴보겠다.
클라우드에서의 시크릿 정보라 함은 “계정, 비밀번호, TLS/SSL 인증서, 토큰, SSH키, API키, 암호화키등 보호된 리소스 또는 민감한 정보”를 말한다. 통계에 따르면, 클라우드 시크릿 정보의 노출로 2021년에는 전세계적으로 약 6천조에 이르는 손실을 보았다고 한다.
이처럼 클라우드 환경 하에서 사용하는 각종 시크릿 정보에 대한 보안이 상당이 중요한데, 보안관점에서 시크릿 관리에 대하여 좀더 자세하게 살펴보기로 하자.
시크릿 관리는 디지털 인증 자격 증명의 수명 주기를 안전하게 저장, 액세스하고 중앙에서 관리하는 도구 및 방법을 의미한다. 여기에는 비밀번호, 암호화 키, API, 토큰 및 인증서와 같은 민감한 데이터가 포함되며, 이러한 시크릿은 기업의 IT 생태계 내의 애플리케이션이나 서비스에 액세스하기 위해 사용자 또는 시스템 사용을 허가하고 인증한다.
따라서 시크릿 관리는 사람의 역할을 최소화하고, 민감한 데이터 및 시스템에 대한 무단 액세스를 방지하는 자동적인 접근 방식을 사용하여 데이터 위반, 신원 도용 및 기타 신원 관련 문제를 방지할 수 있는 체계적인 관리 시스템이라고 할 수 있다.
특히 클라우드 환경하에서 시크릿 관리가 중요한 것은 클라우드 네이티브 환경하에서 CI/CD 및 DevOps 상 클라우드 프로그램 개발 및 운영 시 수많은 오픈소스의 각종 시크릿을 사용하는데, 이러한 시크릿 정보에 대한 원활한 관리가 더욱 필요하다.
기사 원문 : “클라우드 보안, 무엇을 어떻게 해야 하나”(7편) - 아이티비즈 (it-b.co.kr)