클라우드 네이티브 최대 ‘골칫거리’, “컨테이너 관리 투자도 미흡”
서명이나 인증, 사용자 지정 관련 취약점, ‘클라우드 전환’ 걸림돌 작용도
[애플경제 김향자 기자]클라우드 아키텍처가 대중화할수록 쉽게 해결되지 않는 문제가 쿠버네티스의 보안이다. 특히 컨테이너화가 보편화되면서, 이를 오케스트레이션 하는 과정에서 사이버 보안의 위험은 날로 커지고 있다. 그럼에도 사용자들로선 CSP(제공업체)의 보안 전략이 이를 따라가지 못하고 있다는 우려가 높다.
클라우드 환경 솔루션 기업 ‘레드 햇’ 조사
그런 가운데 최근 오픈소스 클라우드 환경 솔루션 전문기업인 레드 햇(Red Hat)의 최신 보고서가 그 심각성을 수치로 보여주는 결과를 공표, 관심을 끌고 있다. 글로벌 클라우드 솔루션 기업으로서 공신력을 지닌 이 회사의 ‘State of Kubernetes’ 보고서에 따르면 설문 응답자의 38%, 즉 5곳 중 2곳 정도는 “쿠버네티스 사이버 보안에 대한 대책이 미흡하고, 컨테이너형 운영에 대한 관리와 투자가 불충분하다”고 생각하는 것으로 나타났다.
더욱이 전체의 3분의 2에 달하는 67%의 사용자들은 그 때문에 클라우드 네이티브 도입을 망설이고 있는 것으로 드러났다.
역시 글로벌 클라우드 컴퓨팅 기업인 CNCF의 수석 개발자 경험 엔지니어인 제프리 시카는 “쿠버네티스 사이버 보안은 특히 서명이나 인증과 관련된 취약점이 많다”고 했다.
그는 또 “이에 대한 해결책을 마련하지 않는 한, 개발자들은 클라우드 네이티브로 전환하는 것을 망설이게 될 것”이라고 ‘IT프로포탈’에 밝혔다.
앞서 레드햇 설문 응답자의 절반 이상은 특히 “쿠버네티스의 ‘사용자 지정’ 수준으로 인한 잘못된 구성과 취약성을 걱정하고 있다”고 함으로써 업그레이드 등을 위한 사용자 측면에서도 보안 위험이 있음을 보여주고 있다.
디폴트 값 전환시 새로운 보안 기능 ‘주의’ 필요
한편 쿠버네티스의 기본 원칙 중 하나는 구 버전과의 호환성이므로, 이를 위한 ‘디폴트’ 구성에 불구하고, 기존의 배포엔 문제가 없다. 이는 다시 말해 디폴트 가정에서 비활성화될 수 있는 새로운 보안 기능에 특별한 주의를 기울여야 한다는 것을 의미한다.
‘포레스트’의 수석 분석가인 샌디 카리에는 ‘테크리퍼블릭’과의 인터뷰에서 “특히 쿠버네티스 보안은 API 자체를 훨씬 능가한다는 것을 깨달아야 한다”면서 “이를 위해 더 많은 조직이 필요하고, 애플리케이션 보안, 컨테이너 보안, ID 관리 및 제로 트러스트를 충족시키며, 보안 전문가들은 적절한 지식을 갖추고 팀 전체에서 협업할 수 있어야한다”고 덧붙였다.
쿠버네티스 보안 문제는 단지 쿠버네티스 자체로만 해결될 문제가 아니다. CNCF의 수거수석 엔지니어 제프리 시카는 “사실 쿠버네티스의 핵심은 컨테이너(오케스트레이션)를 스케줄링할 수 있는 API”라면서 “그 때문에 보통 사이버 공격의 대상은 API 서버나, 쿠버네티스 오케스트레이션의 대상이 되는 컨테이너”고 짚었다. 그래서 컨테이너 실행 시점과 쿠버네티스 ‘디폴트’를 세심히 시도함으로써 이에 대비해야 한다는 지적이다.
“시간이 갈수록 쿠버네티스 보안 심각해져”
현재의 쿠버네티스 보안 환경은 지난 2018년 이후 지금에 이르기까지 마치 밤과 낮이 다른 것처럼 급속하게 변화했다는게 제프리 시카의 견해다. 그래서 “쿠버네티스와 클라우드 네이티브 생태계가 도입되고 성숙되어온 과정에서 지금처럼 사이버 보안에 대한 노력과 집중이 필요한 적은 일찍이 없었다”는 것이다.
그는 “5년 전만 해도 애플리케이션 개발 과정에선 컨테이너 오케스트레이션을 위해 쿠버네티스를 앞다퉈 도입하는 분위기였다”면서 “그 과정에서 기업이나 조직, 그 구성원 모두가 당시로선 획기적인 신기술을 채택하는 과정에서 많은 시행착오와 보안 취약성을 노출할 수 밖에 없었다”돌이켰다.
그러나 “이젠 쿠버네티스가 더 이상 낯설지 않게 되었고, 그 덕부에 이젠 코드베이스의 안정성을 기하고 안전한 디폴트값을 만드는 데 집중할 있게 되었다.”는 것이다. 당시처럼 사이버 보안의 취약성이 대책없이 노출되는 시대는 지났다는 얘기다.
최근에는 클라우드 네이티브 커뮤니티의 보안 문제를 위한 다양한 대책이 등장하고 있다. 예를 들어, 앞서 CNCF는 쿠버네티스 보안 감사를 통해 클라우드 네이티브의 네트워크 권한이나 구성 요소, 통신 등의 취약성을 짚어내기도 했다. 때론 외부 전문기관과 긴밀하게 협력, 소프트웨어 제품의 인증과 검증을 위한 광범위한 툴을 개발하기도 했다.
클라우드 사이버 보안 업체와 협업도
궁극적으론 컨테이너 보안을 중시해야 한다는 각성도 일고 있다. 가트너의 애널리스트인 찰리 윙클리스는 ‘테크리퍼블릭’과의 인터뷰를 통해 “컨테이너를 비롯해, 쿠버네티스 환경 전반에 걸쳐 보안을 검증하는 툴을 채택할 것”과, “가급적이면 두 가지 모두를 수행하는 단일 도구를 채택할 것”을 권하기도 했다.
실제로 많은 기업들은 이제 컨테이너 보안에 특히 중점을 두고 있다. 또 글로벌 클라우드 사이버 보안업체(CSPM)들, 예컨대 위즈(Wiz), 아쿠아(Aqua), 오카(Orca), 팔로 앨토 네트워크 등은 이미 자사의 플랫폼에 컨테이너 보안 기능을 추가하고 있다.
앞서 제프리 시카는 “뿐만 아니라, 기본적인 쿠버네티스 환경에서 보안 책임의 일부를 클라우드 공급자에게 위임하기 위해 아마존의 EKS, 구글의 GKE, AKS를 채택하는 경우도 많다”고 쿠버네티스 보안을 위한 기업들의 다양한 움직임을 전하기도 했다.