목차
1. 개요
2. 클라우드 서비스 분석
가. 서비스 개요
나. 시스템 구성
다. 클라우드 서비스 보안 구조
라. 클라우드 서비스 모델
마. 클라우드 구조
3. 취약점 발생 시나리오
가. Compromised Credentials and Broken Authentication
나. Hacked interfaces and APIs
다. Exploited System Vulnerabilities
라. Account Hijacking
마. Malicious Insider
바. The APT Parasite
사. Permanent Data Loss
아. Inadequate Diligence
자. Cloud Service Abuses
차. DoS Attacks
카. Shared Technology, Shared Dangers
타. Data Breaches
4. 결론
참고문헌
본문내용
1. 개요
본 레포트는 중간레포트에서 다음과 같은 사항을 추가한 것이다.
- 보안위협 12가지에 대한 위협 시나리오
- 보안위협을 클라우드 서비스 모델이 적용
- 적용한 보안위협에 대한 각각의 안정성 분석
- 보안위협 대응방안
- 클라우드 보안 아키텍쳐 작성
중간레포트와 마찬가지로 실제 존재하는 기능, 특징이 아닌 임의로 추가한 내용이 본 레포트에 존재하고, 그 내용들은 구분을 위해 이태릭체 로 표기하였다.
2. 클라우드 서비스 개요 분석
클라우드 서비스는 클라우드 기반 통합 병원정보시스템 서비스인 eM-HIS Cloud로 선정하였다.
가. 서비스 개요
의료정보관리를 위한 개별적인 시스템 구축과 유지 비용의 절감 및 고도의 보안 관리가 어려운 전문병원, 요양병원, 의원 등에서 병원정보시스템을 클라우드 상에서 위탁 관리 가능한 서비스로, 아래와 같은 서비스를 제공한다.
1) 의료 서비스 관리: 환자의 예약, 수납, 고객 관리 등의 기능
2) 전자의무기록 서비스(EMR): 인적사항, 병력, 진찰 등의 의료기관의 전자의무기록 저장 및 열람
3) 전자처방전달 서비스(OCS): 병원의 처방 입력 및 검색 결과 조회 기능 서비스
참고 자료
ITworld, http://www.itworld.co.kr/opinion/107900, 2018.01
한국인터넷진흥원, 클라우드 서비스 보안실증 사례집, 2017
펜타시큐리티, https://www.pentasecurity.co.kr/column/클라우드-환경의-9가지-보안-이슈/, 2013.12
midtree, https://www.mindtree.com/blog/cross-tenant-cloud-attack-legitimate-threat, 2018.07
University of north California, Cross-Tenant Side-Channel Attacks in PaaS, 2014
INCA BLOG, http://erteam.nprotect.com/1814, 2018.08
Emedit, https://www.emedit.co.kr/solution/CloudInfo_06.aspx
ddaily, http://www.ddaily.co.kr/news/article.html?no=171884, 2018.08
보안뉴스, https://www.boannews.com/media/view.asp?idx=54909 , 2017.05
클라우드서비스보안_발표자료, 2018.12
KISA, https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=20884. 2014.04
KISA, http://www.kisa.or.kr/uploadfile/201702/201702140920275581.pdf,
디지털가디언스, https://digitalguardian.com/blog/what-cloud-account-hijacking, 2018.11
igloosec, http://www.igloosec.co.kr/BLOG_APT%20공격과%20대응방안?searchItem=&searchWord=&bbsCateId=1&gotoPage=1, 2016.08
SPRi, https://spri.kr/posts/view/21935?code=issue_reports [2017-006] 클라우드 보안의 핵심이 슈와 대응책, 2017.12