Earticle

초록

한국어

국내 금융권은 데이터 보안성을 강화하고 시스템 성능을 유지하며, 특정 클라우드 서비스 제공자(CSP)에 대한 종 속을 방지하기 위해 하이브리드 멀티클라우드 전략을 채택하고 있다. 동시에, 애플리케이션의 현대화를 통해 서비스 제공의 신속성을 향상시키고, 빅테크 및 핀테크 기업과의 경쟁에서 우위를 점하기 위해 클라우드 네이티브화를 빠르 게 추진하고 있다. 본 논문에서는 금융권의 클라우드 네이티브 하이브리드 멀티클라우드 환경을 대상으로 가능한 모 든 보안 위협을 식별 및 분석하여 위협별 보안 요구사항을 도출한다. 이를 위해 먼저 주요 클라우드 보안 사고사례 를 귀납적으로 분석하여 클라우드 사이버 공격 분류 모델을 구성하고, 해당 환경에 연관된 보안 위협을 식별하였다. 또한, STRIDE 위협 모델링 기법을 통해 예측 가능한 환경 전반의 위협을 식별하고, 공격 트리(Attack tree)를 구 축하여 위협별 보안 요구사항을 도출하였다.

영어

The cloud usage environment in the domestic financial sector strategically operates hybrid multi-cloud to increase data security and secure system performance while preventing specific CSP lock-in. In addition, it is rapidly pushing for cloud nativization to increase the speed of service delivery and preoccupy market competition with Big Tech and FinTech as application modernization progresses. This article looks at the cloud-native hybrid multi-cloud environment in the financial sector, identifies and analyzes all possible threats and derives threat-specific security requirements. First of all, major cloud security accident cases were inductively analyzed for security threat analysis, and a cloud cyber attack classification model was established to identify security threats related to the environment. STRIDE threat modeling also identified threats across the most predictable possible environment and constructed an Attack Tree to derive threat-specific security requirements.

목차

요약
Abstract
1. 서론
2. 보안 위협 분석
2.1 클라우드 네이티브한 하이브리드 멀티클라우드 환경 구성
2.2 사고사례 기반의 보안 위협 분석
2.3 STRIDE 위협 모델링
3. 보안 요구사항
3.1 ID 및 액세스 관리
3.2 네트워크 보안
3.3 데이터 보안
3.4 컨테이너 보안
3.5 공급망 보안
3.6 모니터링 및 감사
3.7 잘못된 클라우드 리소스 구성 방지
3.8 보안 교육
3.9 업무용 단말 보호
4. 결론
Acknowledgement
참고문헌

저자

• 신대민 [ Daemin Shin | 금융보안원 ]
• 유일선 [ Ilsun You | 국민대학교 ]
• 김지윤 [ Jiyoon Kim | 경상국립대학교 ] 교신저자

참고문헌