wip - 네트워크 보안에 관한 몇 가지 키워드

 

Cloud Compliance, DNS spoofing, BGP/route hijacking, ARP spoofing

개인적으로 라이브 서비스 개발이 아니라 신규 프로젝트를 개발을 맡고 있는데, 다른 개발자에게 기능적인 구현을 빨리 보여줘야 하는 입장에 있는 경우가 잦아서 Security 관점의 자동화와 마감을 깔끔하게 정리하고 넘어가지 못하거나 뒷일로 미루게 되는 경우가 좀 있다. 사실 환경보다는 내 마인드셋과 업무 방식의 문제라고 생각한다. Security 측면의 완성도를 DevOps 개발 프로세스 내에 완전히 결합시켜서 진행해야하는데 그만큼의 신경을 못 쓴 것 같기도 하고… 그래서 지난 포스트에서는 DevSecOps에 대해 개념적인 정리를 했었는데, 이번에는 보안을 위해 실제로 신경써야하는 부분들에 대해 몇 가지 키워드를 뽑아 정리해본다.

특정 DevOps 기술 스택과 연관성이 깊어서 사전 설명이 많이 필요한 부분은 제외하겠다. 예를 들어 AWS자격관리나 Vault 같은 내용말고 Compliance나 DNS spoofing 같이 traditional한 토픽에 대해 정리하겠다.

Compliance

Compliance란 특정 산업의 시스템이 갖춰야하는 보안 요구 사항이다. 예를 들어 신용카드 처리를 위한 PCI 컴플라이언스, 의료정보 보안을 위한 HIPPA 컴플라이언스 등이 있다. 필자는 Security Engineer가 아니며 it기업의 compliance 관련 업무 경험이 없다. 레퍼런스를 찾아 포괄적인 정리를 해봤지만 실제로 compliance 취득을 위한 작업을 진행한다면 개발자 입장에서 어떤 방식으로 이루어질지 아직 자세한 프로세스가 떠오르진 않는다. 이에 대한 깊이있는 정보는 한번에 습득하긴 힘들 것 같아 앞으로 compliance 작업에 많은 시간을 투자할 수 있는 기회가 생긴다면 경험적으로 알아가는 것이 좋을 것 같다.

ISO 27001

ISO (International Organization for Standardization)와 IEC (International Electrotechnical Commission)의 연합 Committee가 주관하는 인증으로 기본적으로 ISMS의 수립, 이행, 유지, 지속적인 개선을 위한 요건을 명시하는 국제표준이다. 위험관리, 보안정책, 자산분류 등 11개 분야 133개 항목에 대한 규격을 담고 있다. 어떤 유형의 조직이건 다 적용이 가능하다. 또한, 그런 목적을 위해 세부사항의 기준을 기술적으로 명확하게 명시하진 않으며 서비스 유형에 따라 유연하게 조정되야하는 포괄적인 가이드라인을 제시한다. 레퍼런스에 따르면 “ISO 27001 is all about defining clear rules – who can do what, how, and who is responsible”이라고 한다.

ISMS

ISMS란 정보보호관리체계(Information Security Management System)를 의미하며, 기업이 주요 정보자산을 보호하기 위한 수립, 관리, 운영을 지원해주는 systematic approach이다. 앞서 말했듯 ISO27001이 best-practice ISMS을 적용하는 규약이다.

SOC 2

text

SOC (Service Organization Control) 2 인증은 ICPA와 CICA에서 제정한 개인정보보호 관련 인증제도로, 위 다섯가지 Trust Service Principles의 만족을 요구한다.

GDPR

GDPR (General Data Protection Regulation)은 EU의 새로운 개인정보보호법으로 EU 국가 국민들의 개인정보를 보호하고 기업의 데이터 프라이버시 관리방식을 바꾸기 위해 만들어졌다. 상세한 공식가이드가 있다.

HIPAA

HIPAA (Health Insurance Portability and Accountability Act)는 의료정보 보호에 관한 기본법으로 작용하고 있다.

PIMS

PIMS (Personal Information Management System)는 정보통신망에서 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적, 기술적, 물리적 보호조치가 표준에 맞게 구축되어 있는지 정부가 확인하여 인증해주는 제도이다. ISMS와의 중복을 해소하기 위해 만들어진 ISMS-P도 있다고 한다.

Prisma Cloud

Palo Alto Networks에 제공하는 서비스, evident.io를 인수하고 그 기능을 흡수했다.

text

text

text

text

Vulnerability Scan API, IaC Scan API, Compliance 준수를 돕는 툴 등 많은 기능을 제공한다.

DNS Spoofing

ARP Spoofing

BGP Hijacking

Route Hijacking

XSS Attack

CSRF Attack

SQL Injection