Taeyoung Kim

Cloud & Platform

클라우드 보안 개념 정리

클라우드 보안 개념 정리 학습 내용을 정리한 백필 노트입니다.

이 글은 2025년 학습 기록을 블로그 형식으로 정리한 백필 노트입니다.


1. 정보보안

  • 정보보안 개요:
    • 정보보안의 정의와 중요성: 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)
    • 관리적·기술적·물리적 보안 조치
    • 보안 대책 3대 요소(암호화 정책, 접근제어 시스템, 출입통제)
    • 관리적/기술적/물리적 조치 구체 사례
    • 정보보안의 이점 및 미흡 시 결과
  • 정보보안 발전 과정:
    • 1960~70년대: 인터넷(ARPANET) 등장, 암호화 시작, 소셜 엔지니어링 공격 발생
    • 1980~90년대: 해킹 본격화, 모리스 웜 사건, CERT 창설, 방화벽 개념 등장
    • 2000년대: APT(지능형 지속 위협), DDoS 대두, 대규모 사이버전쟁
    • 2010년대: 클라우드·AI 기반 보안, 제로 트러스트 모델 등장(“Never Trust, Always Verify”)
  • 공격 유형:
    • 행위 방식 기반: 소극적(스니핑, 감청), 적극적(DoS/DDoS, 데이터 변조, 세션 하이재킹 등)
    • 기술적 기반: 악성 소프트웨어(바이러스, 웜, 트로이목마, 랜섬웨어, 스파이웨어, 루트킷 등)
    • 사회공학 기반: 피싱, 스피어피싱, 스미싱, 프리텍스팅
    • 네트워크 기반: DDoS, MIMT(중간자 공격), 스푸핑, 세션 하이재킹, 포트 스캐닝 등
    • 취약점 기반: 제로데이, SQL 인젝션, XSS, CSRF, 버퍼 오버플로우, 인증 우회, 디렉터리 트래버설 등
    • 주체 기반: 외부 공격자, 내부자 위협(악의적/비의도적/계정탈취), 스크립트 키디
    • 환경 기반: 온프레미스, 클라우드 인프라, 컨테이너/쿠버네티스, 서버리스, 멀티클라우드, 엣지

2. 클라우드 서비스

  • 클라우드 개요:
    • 정의: 인터넷을 통해 IT 자원을 빌려 쓰는 서비스
    • NIST 정의: 주문형 셀프서비스, 광범위한 네트워크 접근, 자원 공유, 신속 확장성, 사용량 기반 비용
    • 서비스 모델: SaaS / PaaS / IaaS / FaaS
  • 서비스 모델:
    • SaaS: 완제품 소프트웨어 제공 (M365, Teams, Power BI 등)
    • PaaS: 개발 플랫폼 제공 (App Service, Azure SQL DB, AKS 등)
    • IaaS: 인프라 제공 (VM, VNet, Azure Storage 등)
    • FaaS: 서버리스 환경 (Azure Functions)
    • 장점: 비용 효율, 확장성, 재해 복구
    • 단점: 보안 우려, 벤더 락인, 예기치 못한 비용
  • 온프레미스 vs 클라우드:
    • 온프레미스: 보안성과 통제력↑, 비용/운영 부담↑, 확장성↓
    • 클라우드: 초기 비용↓, 확장성↑, 보안 통제 일부 위임
    • 하이브리드 클라우드 활용 증가
  • Azure 사례
    • 고가용성: VMSS(자동 확장), Load Balancer(트래픽 분산)
    • 워드프레스 이중화 구성 사례
  • 책임 공유 모델
    • 고객 책임: 정보·데이터, 기기, 계정·신원 관리
    • 서비스 모델별 차이
      • SaaS: 제공자가 대부분 책임
      • IaaS: 고객이 OS/앱/네트워크 직접 관리
      • PaaS: 중간 형태
    • 클라우드 제공자 책임: 물리적 호스트, 네트워크, 데이터센터

3. 클라우드 시대의 가상화 이해

  • 가상화 개념: 물리적 서버를 여러 VM으로 분리.
  • 가상 머신(VM): OS 독립적 운영 가능하나 무겁고 리소스 소모 큼.
  • 컨테이너(Container): 경량화, 이식성, 확장성 강점. Docker, Kubernetes 중심.
  • 서버리스(Serverless): 이벤트 기반 실행, 비용 최적화.

4. 웹 애플리케이션 해킹 이해

  • 웹 구성 요소: 클라이언트(브라우저), 서버, DB, 네트워크.
  • 기본 해킹 요소: SQL Injection, XSS, CSRF, 파일 업로드 취약점, 세션 관리 취약점.
  • 심화 해킹 요소: API 취약점 공격, 서버사이드 요청 위조(SSRF), 공급망 공격, 클라우드 관리 API 악용