이번 보고서에서 주목할만한 것은 클라우드 컨테이너의 취약점이 빠르게 증가하고 있다는 것이다. 수많은 기업이 컨테이너 및 컨테이너 오케스트레이션을 도입하는 상황에서 나쁜 소식이 아닐 수 없다. 보고서에 따르면, 2019년 상반기 컨테이너 소프트웨어의 취약점은 전년 동기 대비 46% 증가했다. 2년 전과 비교하면 무려 240%나 늘어났다.
IT 책임자가 해야 할 일은 무엇일까? 과거 어느 때보다 많은 컨테이너가 사용되고 있다는 것은 분명한 사실이다. 컨테이너의 이런 성장세는 계속될 것이며, 따라서 어떤 시스템의 취약점이라도 크게 부풀려질 것이다.
희소식이 있다면, 올 상반기에 밝혀진 7,000개 이상의 취약점 중 악용된 것은 약 650개로 일부에 불과하다는 것. 더구나 대규모 공격에 악용된 취약점은 1%도 되지 않는다. 물론 새로운 컨테이너가 끊임없이 프로덕션 환경에 배치되고 있기 때문에 1%라도 걱정하지 않을 수 없다.
이 문제의 핵심에는 날로 높아지는 클라우드 컴퓨팅 플랫폼의 복잡성이 있다. 클라우드는 현재 퍼블릭 클라우드는 물론 프라이빗 클라우드, 전통적인 컴퓨팅 플랫폼까지 수많은 환경에서 구동하는 컨테이너로 구성되어 있다. 컨테이너가 오케스트레이션과 페더레이션으로 옮겨가면서 복잡성과 함께 보안 위험도 높아질 가능성이 크다.
이기종 인프라를 줄여서 복잡성을 줄이는 방안을 선택하기 어렵다면, 필자가 제안하는 대응 방안은 다음과 같다
- 배치된 컨테이너 기반 애플리케이션에 제대로 된 암호화가 적용된 경우가 드물다. 컨테이너 간은 물론이고 컨테이너와 외부와의 연결도 마찬가지다. 암호화 자체는 복잡성을 높이는 요인일 뿐만 아니라 성능에도 영향을 미치겠지만, 대부분 위험 요소를 막을 수 있다.
- ID 및 액세스 관리를 사용한다. 컨테이너가 복잡한 분산 애플리케이션이라는 점을 고려하면, 수준과 인증서 액세스에 맞춰 구성할 수 있는 IDAM을 활용하는 것이 좋다.
- 마지막으로 선제적인 모니터링과 보안 운영이 많은 문제를 해결할 수 있다. 이상한 행동을 발견해 담당자에게 경보를 보내거나 IP 주소를 차단하는 등의 자동화된 보호 프로세스를 수행하는 역량은 더 없이 유용하다.
컨테이너 보안이 IT 부서가 우려해야 할 사안인가? 현재로서는 그렇다. 하지만 필자가 제안한 방안을 따르기만 해도 앞으로 큰 문제가 되지는 않을 것이다. editor@itworld.co.kr