컨테이너화된 환경에서의 실시간 보호는 클러스터 강화와 달리 동적이어야 한다. 즉, 컨테이너가 프로덕션에 배포된 이후 컨테이너 내에서 예기치 않은 리소스에 연결하기, 새 네트워크 소켓 생성하기 같은 일상적이지 않은 동작을 지속적으로 스캔해야 한다.
요즘 개발자는 더 일찍, 더 자주 테스트하는 추세지만(시프트 레프트), 컨테이너에는 전체 수명 주기에 걸쳐, 그리고 이질적이고 대체로 수명이 짧은 환경 전반에 걸쳐 전체적인 보호가 필요하다.
가트너 애널리스트 아룬 찬드라세카란은 Infoworld와의 인터뷰에서 “그런 특성으로 인해 보호하기가 상당히 까다롭다. 수동 프로세스에 의존할 수 없으므로 환경을 자동화해서 때로는 불과 몇 초 동안 지속되는 것을 모니터링하고 보호해야 한다. 여기서 이메일을 주고받으며 대응할 수는 없다”라고 말했다.
구글은 2019년 발표한 백서 “BeyondProd: 클라우드 기반 보안에 대한 새로운 접근법”에서 “경계 보안 모델은 더 이상 최종 사용자에게도 마이크로서비스에도 효과가 없다. 코드가 변경되는 방법과 마이크로서비스의 사용자 데이터에 액세스하는 방법”까지 보호의 범위를 확장해야 한다고 주장했다.
전통적인 보안 툴은 네트워크 보호, 또는 개별 워크로드 보호에 초점을 두지만 현대 클라우드 네이티브 환경에서는 단순히 빌드를 보호하는 것 이상의 더 전체적인 접근이 필요하다. 이 전체적인 접근에서 호스트, 네트워크, 엔드포인트는 지속적으로 공격에 대비하여 모니터링 및 보호되어야 한다. 여기에는 일반적으로 동적 ID 관리와 네트워크 액세스 제어, 레지스트리 보안이 포함된다.
런타임 보안의 중요성
가트너의 찬드라세카란은 클라우드 네이티브 보안의 4가지 핵심적 측면을 다음과 같이 설명했다.1. 출발점은 여전히 클러스터 강화를 통해 기반을 보호하는 것이다.
2. 그러나 거기서 끝나지 않고 컨테이너 런타임을 보호하고 충분한 모니터링과 로깅이 수행되도록 하는 것까지 확장된다.
3. 그 다음 지속적 제공 프로세스를 보호해야 하는데, 이는 신뢰할 수 있는 컨테이너 이미지 사용하기, 안전한 헬름 차트, 지속적인 취약점 스캔을 의미한다. 이와 함께 효과적인 비밀 보호를 통해 기밀 정보도 보호해야 한다.
4. 마지막으로, 이상적인 상태를 설정하고 이 상태로부터의 이탈을 지속적으로 살펴 전송 계층 보안(TLS)부터 애플리케이션 코드 자체 및 클라우드 보안 태세 관리에 이르기까지 네트워크 계층을 보호해야 한다.
독일 보험사인 뮤닉 리(Munich Re)의 기술 설계자 칼-하인츠 프로머는 2021년 Infoworld 기사에서 “효과적인 쿠버네티스 보안 툴은 쿠버네티스 환경 내의 모든 연결을 시각화하고 안전성을 자동으로 검증하고 모든 예기치 않은 활동을 차단할 수 있어야 한다. 이와 같은 런타임 보호가 구현되면 공격자가 쿠버네티스 환경에 침입해 악의적 프로세스를 시작하더라도 그 프로세스는 피해를 유발하기 전에 즉시, 자동으로 차단된다”라고 말했다.
런타임 보안 신생업체
당연히 주요 클라우드 업체(구글 클라우드, 아마존 웹 서비스, 마이크로소프트 애저)는 모두 이와 같은 보호를 각자의 관리형 쿠버네티스 서비스에 내장하고 있다. 구글 부사장 에릭 브루어는 Infoworld와의 인터뷰에서 “(이 부분이) 제대로 되어 있으면 애플리케이션 개발자가 해야 할 일은 많지 않다. 플랫폼에 무료로 포함되어야 하는 기능”이라고 말했다.그러나 거대 클라우드 기업이라 해도 이 새로운 세계를 혼자서 보호하기는 어렵다. 브루어는 “어느 한 회사가 해결할 수는 없는 문제”라고 말했다.
그 공백을 메우기 위한 업체, 신생업체, 오픈소스 프로젝트 집단이 빠르게 성장하고 있다. 찬드라세카란은 “이 분야의 신생업체 생태계가 발전하는 중이다. OS 강화 또는 런타임 보호의 기본적인 측면이 얼마간 보편화되는 중이고, 주요 클라우드 제공업체들은 이를 플랫폼에 내장하여 제공한다”라고 말했다.
따라서 신생업체와 오픈소스 프로젝트의 기회는 대체로 클라우드 워크로드 보호, 보안 태세 관리, 기밀 관리와 같은 더 고급 기능에 있으며 차별화 요소로 ‘스마트’한 머신 러닝 기반의 경보 및 교정 기능을 추가로 제공하는 경우가 많다.
딥펜스(Deepfence)
딥펜스는 파이어아이(FireEye) 및 주니퍼 네트웍스를 거친 소프트웨어 엔지니어 산딥 라한이 2017년 공동 창업한 업체다. 라한의 설명에 따르면 딥펜스는 런타임에 일어나는 일에 초점을 두기 위해 클라우드 자산에 대한 MRA 스캔 등 공격 표면을 측정할 수 있는 간단한 센서를 마이크로서비스에 내장한다. 라한은 “딥펜스의 비즈니스는 고객의 고충을 해소하고 표적화된 방어를 구축하는 런타임 보호로 수익을 창출하는 것”이라고 말했다.
딥펜스는 2021년 10월 기반 툴인 쓰렛맵퍼(ThreatMapper)를 오픈소스화했다. 이 툴은 애플리케이션 실행 위치에 관계없이 애플리케이션 취약점을 스캔, 맵핑하고 등급화한다. 현재 딥펜스는 전체 런타임 보안 위험을 포괄하기 위한 플랫폼 확장을 추진 중이다.
시스디그(Sysdig)
시스디그는 이 분야에서 떠오르는 또 다른 업체로, 오픈소스 런타임 보안 툴인 팔코(Falco)를 만들었다.
팔코는 쓰렛맵퍼와 마찬가지로 런타임에서 비정상적인 동작을 탐지하는 데 초점을 둔다. 팔코 깃허브 페이지에는 “팔코를 사용하면 손쉽게 커널 이벤트를 소비하고 쿠버네티스 및 나머지 클라우드 네이티브 스택에서 가져오는 정보로 이 이벤트 정보를 보강할 수 있다. 팔코에는 쿠버네티스와 리눅스, 클라우드 네이티브를 위해 만들어진 풍부한 보안 규칙이 있다. 시스템에서 규칙 위반이 발생하면 팔코가 경보를 보내 사용자에게 위반 및 위반의 심각도를 알린다”라고 나와 있다.
시스디그 CTO 로리스 디조안니는 Infoworld 인터뷰에서 “세계가 바뀌면서 이전에 사용하던 기술은 이제 통하지 않는다는 것을 알게 됐다”면서 “더 이상 네트워크에 액세스하지 못하면 패킷 탐지는 무용지물이다. 우리의 출발점은 클라우드 엔드포인트 위에서 시스템 호출을 수집함으로써, 더 간단히 말하자면 애플리케이션과 외부 세계의 상호작용 프로세스를 수집함으로써 컨테이너에 대해 획득할 수 있는 데이터를 새롭게 정의하는 것”이라고 말했다.
디조안니는 시야 확보부터 출발한다는 측면에서 런타임 보안을 집을 지키는 데 비유하며 “컨테이너화된 인프라를 감시하는 보안 카메라라고 보면 된다”라고 설명했다.
아쿠아 시큐리티(Aqua Security)
2015년에 창업된 이스라엘 신생업체 아쿠아 시큐리티는 오픈소스 프로젝트인 트레이시(Tracee)를 활용한다. eBPF 기술을 기반으로 하는 트레이시는 분산된 앱에 대한 런타임 보안 모니터링을 낮은 지연으로 수행하면서 의심스러운 활동을 찾아낸다.
아쿠아 CTO 아미르 저비는 “컨테이너가 모든 것을 내부에 패키징하면 운영 팀이 그냥 버튼을 클릭해서 실행하는 모습을 본 순간, 당연히 보안도 그 안에 패키징해야겠다는 생각이 들었다. 개발자로서는 굳이 기다릴 필요가 없다. 개발자는 보안 전문가가 아니고 정교한 공격으로부터 보호하는 방법을 모르므로 자신에게 필요한 단순한 요소를 선언할 수 있는 단순한 보안 계층이 필요하다. 바로 이 부분에 런타임 보호의 역할이 있다”라고 말했다.
기타 런타임 보안 제공업체
이 분야에서 활동하는 다른 기업으로는 앵코어(Anchore), 레이스워크(Lacework), 팔로알토 네트웍스의 트위스트록(TwistLock), 레드 햇의 스택록스(StackRox), 수세의 뉴벡터(NeuVector), 스닉(Snyk) 등이 있다.개발자를 끌어들이기 위해서는 오픈소스가 중요
위에 열거한 여러 기업의 한 가지 공통적인 요소는 오픈소스 원칙의 중요함이다. 가트너의 찬드라세카란은 “이 분야의 고객은 오픈소스에 관심이 있고 완전한 사유 솔루션은 기피한다”면서 “이들은 오픈소스 커뮤니티에 활발하게 참여하면서 오픈소스 소프트웨어를 기반으로 상용 솔루션을 제공하는 기업과 협력하기를 원한다. 오픈소스가 클라우드 네이티브 기술의 기반이기 때문”이라고 말했다.Infoworld가 접촉한 모든 신생업체 임원의 생각도 마찬가지다. 딥펜스의 저비는 “클라우드 네이티브 커뮤니티는 오픈소스에 많은 초점을 둔다. 오픈소스에 적극적으로 참여하고 기여하는 업체가 인정을 받는다. 이것저것 시도하고 그 업체가 하고 있는 일을 보고 자신도 기여할 수 있기 때문이다. 우리는 상업 기업이지만 상당수 제품이 오픈소스를 기반으로 한다”라고 말했다.
구글 클라우드의 CISO 필 베너블스는 클라우드 네이티브 보안에서 복잡한 문제를 해결하기 위해서는 오픈소스 접근 방법이 필수적이라면서 “디지털 면역 체계에 근접해지고 있다”라고 말했다. 자체 내부 시스템, 대형 엔터프라이즈 고객, 위협 사냥꾼, 레드 팀, 그리고 공개 버그 현상금 프로그램으로부터 정보를 수집한다. 베너블스는 “이를 통해 어떠한 취약점에도 대응할 태세를 갖추고 오픈소스 프로젝트에 다시 돌려줌으로써 여러 현상에 대한 더 넓은 시야를 확보하고 대응할 수 있다”라고 말했다.
분산된 애플리케이션에 분산된 위협이 따르는 미래에는 런타임 보안을 위한 이 같은 개방적이고 투명한 접근 방식이 매우 중요할 것이다. 클라우드 거대 기업들은 이 보호 기능을 각자의 플랫폼에 내장하는 작업을 지속하고, 새로운 신생업체들은 포괄적인 보호 기능을 제공하기 위해 경쟁할 것이다. 그러나 지금으로서는 프로덕션 전반에서 컨테이너화된 애플리케이션을 보호해야 하는 임무를 맡은 실무자는 쉽지 않은 길을 헤쳐 나가야 한다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.