ISMS-P 2.10.2 클라우드 보안 High Risk

클라우드 보안 설정이 적절히 관리되고 있는가?

ISMS-P 2.10.2는 클라우드 서비스 이용 시 설정 오류 등으로 중요정보가 유출되지 않도록 보호대책을 요구합니다. 클라우드 환경에서는 Security Hub CSPM + S3 퍼블릭 차단 + CloudTrail 활성화로 구현해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.10.2 클라우드 보안 요구사항

2.10.2

클라우드 보안

인증 기준 정의

"클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다."

📌 클라우드 환경 적용 포인트

Security Hub로 보안 태세(CSPM) 통합 관리
CIS Benchmark, AWS FSBP 표준 준수
S3 퍼블릭 접근 차단 및 암호화 필수
Security Group 최소 권한 (0.0.0.0/0 금지)
CloudTrail/Config 전 리전 활성화

⚠️ 미준수 시 심사 영향

결함: S3 퍼블릭 접근 허용 상태
결함: Security Group 0.0.0.0/0 허용
결함: CloudTrail/Config 미활성화
결함: 보안설정 변경 권한 과도 부여

📄 KISA ISMS-P 인증기준 안내서 ↗ 📖 ISMS-P 2.10.2 상세 안내 ↗

📰

실제 보안 사고 사례

클라우드 설정 오류로 발생한 대규모 유출 사례

2025.01

TalentHook 2,600만건 이력서 유출

미국 인재 채용 플랫폼에서 클라우드 스토리지 접근 권한 설정 오류로 2,600만 건 이력서 정보 외부 노출. 스토리지의 퍼블릭 접근이 잘못 설정되어 민감한 개인정보가 인터넷에 공개됨.

💡 교훈: S3/스토리지 퍼블릭 접근 차단 필수, CSPM 도구로 지속 점검

출처: TechRadar ↗

2024

네이버 클라우드-라인야후 40만건 유출

협력업체 PC 악성코드 감염 → 네이버 클라우드 서버 → 연동된 일본 라인야후 시스템 침투 → 개인정보 40만건 유출. 악성코드 감염을 뒤늦게 발견하여 제때 차단 실패.

💡 교훈: 클라우드 간 연동 시 네트워크 분리, 실시간 모니터링 필수

출처: 데이터넷 ↗

⚡

클라우드 환경의 위험

설정 오류로 인한 보안 취약점

미관리 (위험)

S3

🪣

→

Public

🌐

→

유출

💀

↑ 퍼블릭 접근 허용

S3 퍼블릭 + SG 0.0.0.0/0 → ISMS-P 2.10.2 미충족

체계적 관리 (권장)

Security

🛡️

→

Hub

📊

→

CSPM

✅

↑ 보안 태세 자동 점검

Security Hub + 퍼블릭 차단 → 인증 기준 충족

🚨

발견 사례: S3 퍼블릭 접근 허용, Security Group 0.0.0.0/0

민감 데이터가 저장된 S3 버킷의 퍼블릭 접근이 허용되어 있고, Security Group에서 SSH(22), RDP(3389) 포트가 전 세계에 개방.

현재 상태 - 문제가 되는 설정

# S3 버킷 - 퍼블릭 접근 허용 (위험!)
resource "aws_s3_bucket_public_access_block" "data" {
  bucket = aws_s3_bucket.data.id
  # 모두 false - 퍼블릭 접근 가능!
  block_public_acls       = false
  block_public_policy     = false
}

# Security Group - 0.0.0.0/0 인바운드 (위험!)
resource "aws_security_group" "web" {
  ingress {
    from_port   = 22
    cidr_blocks = ["0.0.0.0/0"]  # 전 세계 SSH!
  }
}

ISMS-P 2.10.2 위반 사항

●

S3 버킷 퍼블릭 접근 허용

●

Security Group 0.0.0.0/0 허용

●

CloudTrail/Config 미활성화

●

Security Hub 미활성화

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

클라우드 보안 설정 탐지 로직

판단 조건	조건 값	결과
🪣 S3 Public Access Block	`설정 없음 또는 false`	Critical - 차단
🪣 S3 Public Access Block	`4개 항목 모두 true`	✓ 통과
🔒 Security Group	`0.0.0.0/0 인바운드 (22, 3389)`	Critical - 차단
🔒 Security Group	`특정 CIDR 또는 SG 참조`	✓ 통과
📝 CloudTrail	`리소스 없음`	High - 경고
📝 CloudTrail	`multi_region_trail = true`	✓ 통과

🔔

사후 대응 방안

Security Hub 기반 실시간 보안 태세 모니터링

클라우드 보안 런타임 모니터링 로직

판단 조건	조건 값	결과
🛡️ Security Hub	`CIS 위반 Finding`	High - Slack 알림
🛡️ Security Hub	`Critical Finding`	Critical - 즉시 알림
🪣 S3 Bucket	`ACL public-read 탐지`	Critical - 자동 차단
🔒 Security Group	`0.0.0.0/0 추가 탐지`	Critical - 즉시 삭제 권고

모든 알림에 포함되는 정보

리소스 ARN Security Hub Finding ID 위반 표준 (CIS/FSBP) 권장 조치

✓

조치 가이드

Security Hub 및 보안 설정 강화

❌ 문제

S3 퍼블릭 허용, SG 0.0.0.0/0, CloudTrail 미활성화

✓ 적용

Security Hub + Public Block + CloudTrail

권장 설정 (복사하여 적용)

cloud-security.tf

# Security Hub 활성화 - CSPM
resource "aws_securityhub_account" "main" {}

# CIS AWS Foundations Benchmark 활성화
resource "aws_securityhub_standards_subscription" "cis" {
  standards_arn = "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.4.0"
}

# S3 버킷 - 퍼블릭 접근 완전 차단
resource "aws_s3_bucket_public_access_block" "data" {
  bucket = aws_s3_bucket.data.id

  block_public_acls       = true
  block_public_policy     = true
  ignore_public_acls      = true
  restrict_public_buckets = true
}

# Security Group - 최소 권한 (0.0.0.0/0 절대 금지!)
resource "aws_security_group" "web" {
  ingress {
    from_port   = 443
    cidr_blocks = ["10.0.0.0/8"]  # 내부만
  }
  # SSH는 SSM Session Manager 사용 권장
}

# CloudTrail - 전 리전 활성화
resource "aws_cloudtrail" "main" {
  name                          = "organization-trail"
  is_multi_region_trail         = true
  include_global_service_events = true
  enable_log_file_validation    = true
}

💡 핵심: AWS Security Hub를 활성화하여 CIS Benchmark, AWS FSBP 준수 여부를 자동 점검합니다. 모든 S3 버킷에 Public Access Block을 적용하고 4개 항목을 모두 true로 설정합니다. Security Group에서 0.0.0.0/0 인바운드를 절대 허용하지 않고, SSH/RDP는 SSM Session Manager를 사용합니다.

📚 참고 자료

🛡️ AWS Security Hub CSPM ↗ 📋 CIS AWS Benchmark ↗ 🪣 AWS S3 보안 모범사례 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 보안 태세 보고

📋 진단 항목

S3 퍼블릭 접근 차단 설정
Security Group 0.0.0.0/0 여부
CloudTrail 전 리전 활성화
Security Hub CIS 점수
Config 규정 준수 현황

📅 리포트 주기

일간

Security Hub Critical Finding

주간

CIS Benchmark 점수 추이

월간

ISMS-P 클라우드 보안 증적

📤 발송 및 저장

발송 채널

Email Slack Security Hub

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

개별 리소스 설정 값 단순 체크

public_access == true 비교
개별 리소스 단위 점검
정적 분석 결과만 출력

한계: Security Hub 통합 점검 불가, 설정 변경 이력 추적 불가

BSG 접근 방식

IaC + Security Hub + 자동 수정

배포 전 S3 퍼블릭, SG 0.0.0.0/0 차단
Security Hub Finding 실시간 알림
CIS Benchmark 통합 대시보드

차별점: CSPM 통합 + 규정 준수 리포트 자동화 + 자동 수정

<- Cloud Security & Access Control로 돌아가기