6kitty 6kitty

⎛⎝ ≽ > ⩊ < ≼ ⎠⎞

6kitty

© 2026

Dark Mode

260408 TIL
Apr 8, 2026
  • cloud
  • digital twin

Today I learned : 클라우드 보안

NSSEC

day 1. 클라우드 거버넌스 및 최신 트렌드

N2SF 개요 및 적용절차, 보안통제 체계

AS-IS : 클라우드/웹드라이브 활용 제한으로 디지털 전환 장애, 생성형 AI 사용 불가로 인한 신기술 도입 제한 -> 업무 효율성 크게 저하

TO-BE : N2SF 도입 필요성, C/S/O
위험관리 프레임워크

준비 > 등급분류(자산에 대해 CSO 등급 분류) > 위험식별 > 보안대책 수립 > 적정성 평가 조정 -> 국정원 보안성 검토

N2SF 핵심 보안 원칙

  1. 최소 권한 원칙
  2. 분리 및 격리 : 물리적/논리적 망분리
  3. 동적 통제 : 어떻게 런타임 시큐리티를 실현할 것인가..(context 고려하여 보안 통제)
  4. 데이터 중심 보호 : 네트워크 경계가 아닌 데이터 자체의 보안 강화

실태평가

제로트러스트 아키텍처 연계 적용(overlay식으로 N2SF+zero trust) 시나리오 기반 모의해킹 수행, 보안통제 정합성 및 취약성 점검

국내 기준으로 NIST RMF보다 현실적이고 구체적 정보공개법, 공공데이터법 등.. 각급 기관이 지정(비공개 대상 정보에 대해)

전용 모델링 방법론

  1. 정보서비스 구성요소 분석
  2. 모델링 : 위치(도메인), 주체(그 도메인에 있는 기기, 정보시스템), 객체(주체에서 사용하는 데이터,기기,정보시스템)
  3. 모델 CSO 평가
  4. 보안원칙 적용 : 정보생산저장의 원칙, 정보 이동의 원칙

N2SF 보안통제 체계

  1. 권한
  2. 인증
  3. 분리 및 격리
  4. 통제
  5. 데이터
  6. 정보자산

5G와 자율주행..(QoS)

TLS 1.2와 1.3의 차이점(컴플라이언스 측면에서)

N2SF 정보서비스 모델 (11종)

제로트러스트 아키텍처

등장 배경: 내부자 위협, 퍼블릭 클라우드 확산, 네트워크 경계에서 신원 중심으로 보안 축 이동

Assume Breach 방어 전략 수립

NIST, NCCoE ZTA PE/PA policy 관리 PEP -> policy를 enforce하는 곳

service messy? -> monitoring을 위한 layer, resource state 등.. 이것을 중앙집중화로 시각화하는 -> 여기서 모은 데이터로 라벨링 하고 AI/ML 학습

UK NCSC 8대 제로트러스트 원칙

Know Your Arch

dangling pointer

모놀리틱 -> MSA로 전환 제로트러스트도 원칙들에 aware하도록 애플리케이션 모던화 클라우드 네이티브 보안 -> runtime security, contatiner 단위로 모니터링(런타임에)

-> 이부분 잘 복습해서 A2A에는 어떻게 적용되는지 이해해보자

cloud trail -> log… -> 이걸 어떻게 개량하고 extract 전처리해서 LLM한테 이상 탐지 (API sequence만 extract 했을 때..)

network

sidecar proxy istiod kubernetes orchestration을 두고 이것을 유연하게 해주는 layer, 대표적인 게 istiod

data layer

클라우드 보안 관점에서 CSP의 노력뿐 아니라 이용자 또한 책임 영역 등이 존재한다.

Customer responsibility, OCI responsibiility -> APp controls, Managed Svcs, OSnetwork config, infra sec

OCI 측에서는 가상화, 물리 네떡, 컴퓨팅 엔진 등

N2SF + ZTA

정책과 아키텍처 -> ZTA PE/PA/PEP 이거 policy와 mechanism 개념 아닌가

CNCF? -> cloud native runtime? cluster layer에서 runtime security 적용하는 가상머신 -> 클라우드 네이티브에 맞는 security env

KB 국민은행 -> IT

agile 보안.. KB 이형철 수석 (zta 전문가)

CSAP 및 사이버 보안 실태평가

CSAP 5년 IaaS, SaaS, DaaS

2016 제정된 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 23조 2항에 따름

  1. IaaS : 공공기관 전용 클라우드 인프라, 엔터프라이즈급, KT cloud 등.. 14개 분야 116개
  2. SaaS : 표준과 간편등급으로 나뉨
  3. DaaS : 원격 근무에 사용됨

KISA에서 인증 기관 평가 기관은 3개 -> 정책 기관이 개보위가 아니라 과기정통부

최초평가, 사후평가(총4회), 갱신평가

velog @ginee_park 세부 내용은 보안인증기준해설서 참고

하이퍼바이저 보안이 존재.. 조금 더 퍼블릭 클라우드적 보안 심사 부분

사이버 보안 실태 평가 - 국가정보원
중앙행정기관, 공공기관, 광역자치단체
국가정보원법, 사이버안보업무규정, 전자정부법, 공공기록물과닐법 등..

가산점 –

  1. 재해복구시스템
  2. AI 기반 보안관제
  3. 해킹방어대회 참여
  4. N2SF 구축

클라우드 보안 사고 트렌드

멀티 클라우드 전환하는 트렌드(다중 클라우드 전략) 대규모 장애가 생길 시 단일 CSP를 사용하면 큰 리스크가 됨

가시성 부족 : 자산 및 데이터 흐름에 대한 식별 어려움 구성 오류가 주원인 : Misconfiguration

  2. 권한 설정 오류 -> 개발계와 운영계 분리

CSPM 도입, IaC 기반 자동화, 최소 권한 원칙

클라우드 보안사고 유형 분류 체계

컨테이너 -> 호스트 커널에서 들어감 호스트 커널이 제공해주는 아이솔레이션에 의존

가상머신 -> 커널 사이즈까지 다 넣어야 함

스토리지 악용 흥미롭네 -> 시나리오 재현 가능한가

docker hub 공격

xmrig 바이너리 실행해서 모네로 채굴 컨테이너 구동 시 크립토마이너 실행 컨테이너 이미지를 암호화폐 채굴용으로 사용됨

codecov 공격

NPM bignum S3

S3 버킷 -> 포인터 정리 똑바로 안 함 (클라우드 내에서는 url)

코드리스 공급망 공격 checkmarx security research

Oauth의 refreshing 원리

  1. 침투 및 탈취
  2. 접근 및 데이터 유출
  3. 악용 및 대응

Enterprise Best Prac

  1. CSP 보안 옵션 적극 활용
  2. 접근 권한 관리 (IAM)
  3. 데이터 보호 : HSM 사용해서 KMS, MTLS? NTLS? -> 규제 준수
  4. 통합 보안 관제 : UEBA, cognitive SOC

CIS benchmark

cloud native log integration GuardDuty, security hub, soaar automation game day forensic

국내 CSP 현황 및 기술 분석

국내와 국외의 CSP들 보안 관점에서의 차이점, 국내 CSP의 개선점

공공에서 이걸 동기로 써먹으면 좋을듯 (공공인가 금융은 국내 CSP 필수였던 거 같은데 확인 필요)

CSP:

CSAP 인증을 받은 곳만 공공기관에서 사용할 수 있음 -> KT cloud, AWS, NHN 등… 마이터 어택의 첫 시작으로 사회공학기법 가장 많이 사용 -> 내 피싱 플젝 어필

국내 CSP 주요 과제들 정리하기

미흡한 부분

  1. 런타임 보안(CWPP/CNAPP) 제한
  2. DevSecOps에 대한 이해도

confidential compute, nitro enclaves… 기밀 컴퓨팅 (data in use에 대한 보호)

해외 CSP

AWS

cloudTrail, guardDuty, amazon inspector

###

saas 보다 fine grained된 형태 -> function -> lambda

IoT에서는 azure을 많이 씀 -> defender, sentinel QKL?KQL?

CNCF라는 assosiate 참고 cilium 등… envoy.. in-toto…

###

nvidia gpu 기밀컴퓨팅 기술

할 일

깃블로그 접근통제 필요 maskit ZTA로 재구성

끝나면 명동 가서 이어폰 픽업하고 시간 좀 남으면 카페 가서 CPPG 단권화 훠궈 먹고 집 가서 AP2 나머지 만지고 CPPG 모고 하나 더 풀고 EU-GDPR이랑 인증제도 부분은 캡 떠서 프린트 ㄱㄱ 그리고 AP2 빠르게 해서 완성하고 CPPG 외울 부분 외우고 디트 더이상 미루면 안됨!!!!

정처기 실기 암기

소프트웨어 개발 프레임워크

  1. 모듈
  2. 라이브러리
  3. 디자인 패턴
  4. SW 개발 프레임워크 : 디자인 패턴 + 모듈
  5. SW 아키텍처
  6. 컴포넌트
  7. 소프트웨어 재사용

SDLC 5가지

  1. 폭포수
  2. 프로토타입 : 기능/인터페이스 중심으로 개발, 폭포수 모델 보완
  3. 나선형 : 점진적
  4. 애자일 : 종류 6가지 -> xp, kanban, crystal, fdd, asd, dsdm
    가치 -> 소통, 협업, 변화 대응
  5. XP : 고객 참여, 짧은 개발 반복 극대화, 소규모
    가치 -> 의사소통, 단순성, 용기, 존중, 피드백

개발 기간, 스케줄 관리 3가지

  1. PERT : 작업별 기간 불확실 -> 낙사기비육
  2. CPM : 작업별 기간 확실 -> 원형(완료 시점), 박스
  3. 간트 차트 : 작업 간 의존성, 문제 요인 파악 어려움

비용 산정 방법 7가지

  1. 전문가 : 경험 기반…
  2. 델파이 : 여러 전문가 의견 종합

  3. LOC 기반 비용 산정 -> 소스코드 라인 수 기반 예측치 : 낙사기비육 노력 : 개발 기간 * 투입 인원 = LOC/인당 월평균 생산 코드 라인 비용 기간 생산성

  4. 단계별 노력
  5. COCOMO : 보헴 제안
    • basic (5-30-30) organic, semi,embedded
    • intermediate
    • detailed