팔로알토 네트웍스 “클라우드 환경에서의 취약점 점차 확대”

URL복사

팔로알토 네트웍스가 '유닛42 클라우드 위협 보고서' 최신호를 출간했다고 15일 밝혔다.

올해로 7번째 발간된 이번 보고서에는 최근 12개월 동안 전 세계 1300여개 기업과 21만 개 클라우드 계정을 분석한 결과를 담았다.

이번 보고서에서 가장 두드러진 점은 위협 행위자들이 클라우드 환경에서의 일상적이고 공통적으로 노출된 문제들을 악용하는데 능숙해졌다는 것이다. 주로 타깃이 되는 부분은 잘못된 구성, 취약한 자격 증명, 인증 부족, 패치되지 않은 취약성 및 악의적인 OSS(오픈소스 소프트웨어) 패키지 등이다.

보고서에 따르면, 보안팀에서 보안 알림을 해결하기까지 걸리는 시간은 평균 145시간(약 6일)이며, 절반 이상(60%)의 기업들은 보안 문제를 해결하는 데 나흘이 걸리는 것으로 분석됐다.

대부분 기업의 클라우드 환경에서 보안 규칙의 5%가 알림의 80%를 트리거하는 것으로 나타났으며 운영 환경의 코드베이스 63%에 위험도가 높거나 치명적(CVSS 7.0 이상)으로 분류된 패치되지 않은 취약점이 발견됐다. 이밖에 76%의 조직이 콘솔 사용자에게 다단계 인증(MFA)을 적용하지 않고, 특히 58%는 루트/관리자 사용자에게 MFA를 적용하지 않고 있는 것으로 조사됐다.

유닛42 클라우드 위협 보고서는 보안 리더 및 실무자에게 클라우드 보안에 대한 다면적인 시각을 제공하기 위해 2022년에 수집한 대규모 데이터를 사용하여 최신 클라우드 보안 동향을 종합적으로 다뤘다. 중소 규모와 대규모 기업에 영향을 미쳤던 실제 보안 침해 사례를 살펴보고, 수천 개의 멀티 클라우드 환경에서 관찰된 문제를 상세히 기술하는 한편 오픈 소스 소프트웨어(OSS)의 취약점이 클라우드에 미치는 영향을 분석했다.

클라우드 보안은 잘못된 구성과 같은 사용자 오류가 여전히 주요 이슈로 꼽혔으나, 올해 보고서에서는 클라우드 서비스 공급자(CSP)가 제공하는 템플릿과 기본 구성에서 비롯된 문제에 대해서도 짚어냈다. CSP가 제공하는 편리한 설정과 기능은 새로운 기술을 원활하게 도입할 수 있도록 돕지만, 최초의 시점에 가장 안전한 상태를 보장하지 못한다.

오픈소스 소프트웨어는 클라우드 혁명의 원동력 중 하나이다. 그러나 클라우드에서 OSS 사용이 증가하면 복잡성도 증가하여 소프트웨어의 가치가 떨어지거나 사용이 중단되는 소프트웨어가 늘어나고, 악성 콘텐츠 및 패치 적용 주기가 느려진다.

따라서 최종 사용자는 OSS를 애플리케이션에 통합하기 전에 이를 면밀히 검토해야 하는데, 조직 내에서 수천 개의 OSS에 의존하는 수십 개의 프로젝트를 관리해야 하는 경우 많은 어려움이 발생한다.

서비스 거부(DoS) 및 인증 우회는 가장 일반적인 취약점 유형으로, 취약점의 57%를 차지했고, 비영리 리눅스 재단 산하 CNCF(Cloud Native Computing Foundation) 프로젝트에서 가장 많이 사용되는 언어는 Go(61.8%)와 Rust(8.6%)인 것으로 나타났다.

팔로알토 네트웍스는 보고서 분석을 토대로 위협 행위자들이 점점 더 독창적인 방식으로 클라우드 인프라, API, 소프트웨어 공급망 자체의 구성 오류를 노리고 있기 때문에 기업에서도 클라우드 네이티브 애플리케이션의 공격 표면이 지속적으로 확장될 것을 각오해야 하는 시점이라고 진단하며 다음과 같은 사항들을 권고했다.

중단되면 비즈니스 운영에 지장이 생기는 클라우드 워크로드의 경우 자동으로 백업하는 프로세스를 갖춰야 한다. 백업은 여러 지역적 위치에 프로덕션 환경과 격리하여 보호하는 위치에 저장함으로써 단일 장애점이 되지 않도록 해야 하며, 백업을 복구하는 프로세스가 포함된 비즈니스 연속성 및 재해 복구(BC/DR) 계획을 마련해야 한다.

데이터베이스, 블록/객체 스토리지, 스냅샷과 같이 데이터를 지속적으로 유지하는 모든 클라우드 리소스에 대해 저장 데이터 암호화를 활성화한다. 기업에서는 클라우드 네이티브 키 관리 서비스에 키 자료를 가져와 관리함으로써 가장 높은 데이터 주권을 보장하는 것이 바람직하다. 암호화를 정기적으로 교체하여 각 키의 수명 주기를 단축함으로써 자격 증명이 유출되더라도 피해를 줄일 수 있어야 한다.

포인트 보안 솔루션 대신 애플리케이션 개발 수명 주기 전체에 대한 모든 기능을 제공하는 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)을 확보해야 한다.

헬로티 이창현 기자 |

[인더스트리 솔루션 인사이트] 디지털 제조 시대 ESG 규제와 韓 기업 대응 방안은?

디지털 제조 시대에 ESG와 탄소중립 규제는 글로벌 시장에서 필수 요건으로 자리잡고 있다. 최근 한국 기업들은 정부의 탄소중립 목표에 발맞춰 탄소 배출 저감 기술 개발과 재생 에너지 도입에 박차를 가하고 있다. 특히 인공지능(AI)과 IoT를 활용한 스마트 제조 시스템으로 에너지 효율을 높이고, 자원 낭비를 줄이는 노력이 두드러진다. 또한 공급망 ESG 기준을 강화해 지속 가능한 원료 조달과 폐기물 관리 시스템을 구축하고 있다. 더불어 탄소중립 인증을 받은 제품으로 글로벌 경쟁력 확보를 도모하고 있다. [특집] 디지털 제조 시대 ESG 규제와 韓 기업 대응 방안은? [ESG 전략] 탄소중립 ‘강제성 부여’ 카운트다운 시작됐다 [ESG 전략] 산업 목 조이는 글로벌 환경규제, 데이터 공유 플랫폼 통해 ‘숨통’ [패널토론] 글로벌 ESG 규제와 한국 기업의 전략적 대응 방안 INTERVIEW 타케시 후지와라 RX Japan Executive Director “일본 진출 고민 중인 국내 기업, ‘RX Japan’이 도우미로 나선다” 에어로텍 윌리엄 예 아시아지역 마케팅 총괄 “R&D 기반 커스터마이징이 핵심 무기...차세대 분야로 무대 확장한다. 이비엠팝스

[인더스트리 솔루션 인사이트] Machine Vision & Metrology 9월호

품질 검사에서 가장 활발하게 사용돼 왔던 머신비전 및 계측 기술. 4차 산업혁명 시대 모든 산업에서 머신비전은 중요한 기술로 자리 잡고 있습니다. 특히 딥러닝 등 AI 기술이 융합되면서 머신비전 기술도 한 단계 진화하고 있습니다. 3D, 스마트카메라, 센서의 진화, 소형화, 임베디드 비전, 로봇 기반 비전, AI 융합 등은 머신비전 분야의 핫 키워드입니다. 머신비전앤메트롤로지는 4차 산업혁명 시대 필수 기술인 머신비전에 대한 국내외 최신 산업 트렌드, 신제품과 신기술 등 다채로운 정보를 소개합니다. Industry Update 엠비젼 ‘260Q 시리즈’, 반도체 외관검사 최적화 이끈다 LMI, 리버티 로보틱스 인수...3D 비전 솔루션 포트폴리오 강화 SICK, 하이엔드 3D 애플리케이션으로 기능 확장 플로틱–씨메스, 물류센터 자동화 로봇 솔루션 협업 MOU 체결 레이저옵텍, 2분기 매출 104억 원…‘분기 최대 실적’ 이노비즈협 충북지회, AI머신비전 국비지원 취업훈련생 모집 Product & Solution 바슬러, CoaXPress 2.0 카메라 ‘ace 2 V’ 출시 메크마인드, 3D 측정 및 검사 ‘Mech-MSR 비전 소프트웨어’ 출시 화인

[유니버설 로봇] 협동로봇으로 팔레타이징 자동화하기

협동로봇을 이용한 팔레타이징 자동화가 주목받고 있다. 기존 산업용 로봇을 이용한 시스템은 안전 펜스가 필요하기에 넓은 설치 공간이 필요했으며, 복잡한 프로그래밍이 필요한 대규모 설비이므로 가동할 때까지 시간이 필요했다. 또한, 팔레트 교환 시에는 가동을 정지하거나 자동 교환 기구를 추가해야 하므로 비용이 증가할 수밖에 없었다. 협동로봇을 이용한 시스템은 안전 펜스가 필요없으며, 보다 면적이 작은 공간에서도 설치 가능하다. 경량화한 시스템으로서 220V로 구동하며 이동 및 재설치가 쉽다는 장점이 있다. 이뿐 아니라 대규모 부대설비가 필요하지 않으므로 전체 시스템의 비용 절감이 가능하며, 시스템이 연속 가능 또는 일시 정지 상태에서 팔레트 교환이 가능하다. 유니버설이 공개한 이 백서에서는 협동로봇에 대한 정의를 비롯해 적용에 따른 이점, 현장 적용 사례, 자사의 협동로봇 라인업 등을 소개한다. 유니버설 로봇은 협동로봇 도입에 앞서 설치 공간, 이송할 박스 크기, 처리 속도, 적재 높이 등을 파악해야 하며 조건에 맞는 도입 방법을 고려해야 한다고 조언했다. 한편, 유니버설 로봇은 다양한 산업과 교육 부문에 사용되는 협동로봇의 선도적인 공급기업이다. 2005년에 설

산업 현장 프로세스 자동화 문제 해결 위한 ADI의 10BASE-T1L 솔루션

각종 산업현장은 다음과 같은 문제에 직면하고 있습니다. - 원격 장치의 데이터를 실시간으로 수집하지 못해 생산 효율성이 떨어집니다. - 케이블 설치 비용이 많이 들고 유지관리가 어렵습니다. - 위험 지역에서 안전한 데이터 통신을 구축할 수 없습니다. - 장비 상태 정보를 실시간으로 파악하지 못해 고장예측이 어렵습니다. 2019년 'IEEE 802.3cg 10BASE-T1L' 사양이 도입되면서 한 쌍의 연선을 통해 최대 1,000m까지 10Mbps 전이중 통신이 가능해졌습니다. 이를 통해 여러 산업현장 및 건물 관리의 통신 문제가 해결되고 있습니다. 10BASE-T1L 표준은 케이블 연결, 대역폭, 통신거리 및 전력 등 공장자동화, 건물 자동화 분야에서의 제한을 극복하는 계기를 제공했습니다. 이러한 10BASE-T1L은 다음과 같은 장점을 제공합니다. - 최대 1.7km급 장거리 연결 : 원격 장치의 데이터를 실시간으로 수집할 수 있습니다. - 낮은 전력 소비 : 배터리 구동 장치에도 적합합니다. - 간편한 설치 : 기존 케이블 인프라를 활용할 수 있습니다. - 높은 안전성 : 본질적으로 안전한 Zone 0 애플리케이션 지원 - 풍부한 데이터 : 프로세스 변수

HP JF 5600 3D 프린팅...그리고 Automation accessory

HP의 JF 5600 3D 프린팅과 자동화 악세서리는 제조 산업에 혁신을 가져옵니다. 해당 기술은 생산성을 향상시키고 효율성을 높일 수 있습니다. HP의 최신 기술은 고급 3D 프린팅과 자동화를 통합해 개념부터 제품 생산까지의 과정을 더욱 효율적으로 만들어냅니다. 이번 웨비나에서 HP의 혁신적인 기술을 직접 경험하고, 제조 산업의 미래를 엿볼 수 있는 기회를 제공합니다. 새로운 가능성을 발견해보세요. 헬로티 최재규 기자 |

헥사곤 배터리 솔루션 데이 DAY2 - 배터리 품질 검증 강화 솔루션

배터리 산업을 혁신적으로 변화시키는 헥사곤의 솔루션을 만나보세요! 이번 웨비나는 이틀에 걸쳐 배터리 생산력과 품질 검증을 향상시키는 다양한 전략을 다뤘습니다다. 헥사곤의 배터리 산업 솔루션은 배터리의 설계부터 생산까지의 모든 과정에서 적용될 수 있습니다. 현업 전문가들의 실용적인 팁과 헥사곤의 최신 기술을 접목한 해당 웨비나를 통해 배터리 산업에 대한 인사이트를 확보하세요! 헬로티 최재규 기자 |

일반뉴스