원인은 컨테이너와 쿠버네티스 관련 보안 지식의 부족, 충분치 않은 툴, 앱 개발팀과 보조를 맞추지 못하는 중앙 보안팀 등 다양하다. 기본적으로 쿠버네티스와 컨테이너가 보안이 아니라 개발자의 생산성을 위해 개발됐다는 점도 한 요인이다.
레드햇이 발행한 이 보고서는 쿠버네티스와 컨테이너, 클라우드 네이티브 보안 트렌드를 분석한 결과다. 300명 이상의 데브옵스, 엔지니어, 보안 전문가를 설문했다. 주요 내용은 다음과 같다.
- 응답자의 55%는 보안 문제 때문에 애플리케이션 개발 일정을 연기하기나 지연시켰다.
- 53%는 지난 1년 사이 쿠버네티스에서 잘못된 설정을 발견했다.
- 57%는 런타임에서의 보안 워크로드를 가장 우려했다.
- 78%는 시작 단계, 심화 단계를 포함해 데브섹옵스 정책을 보유하고 있다고 답했다.
- 43%는 쿠버네티스 보안에서 데브옵스가 핵심이라고 답했다.
- 38%는 지난 1년 사이 컨테이너와 쿠버네티스 관련된 주요 보안 취약점을 경험했다.
보고서에 따르면, 컨테이너와 쿠버네티스를 도입하고 클라우드 네이티브 생태계를 구축한 기업이 보안 전략과 툴에 투자하지 않으면, 핵심 애플리케이션이 위기에 처할 수 있다. 현재 많은 기업이 데브옵스 파이프라인에 보안 프로세스와 툴을 만드는 데브섹옵스를 도입하고 있다고 보고서는 분석했다.
쿠버네티스는 사용자가 원하는 대로 맞춤 설정할 수 있는 컨테이너 오케스트레이터다. 그러나 보고서에 따르면, 이 다양한 구성 옵션이 오히려 애플리케이션 보안에 영향을 준다. 이때 보안 툴은 쿠버네티스를 더 안전하게 설정할 수 있는 일종의 안전판 역할을 한다. 특히 런타임은 기업이 가장 우려하는 컨테이너 수명주기 단계인데, 보통 런타임 보안 문제는 빌드나 배포 단계에서의 잘못된 설정 같은 실수에서 비롯된다.
레드햇은 이런 문제를 해결하고 보안을 강화하기 위해 다음과 같은 조치를 조언했다.
- 쿠버네티스 네이티브 보안 아키텍처와 컨트롤의 사용
- 보안은 수명 주기의 초기에 시작해 수명 주기 전반으로 확장
- 이식성은 하이브리드 환경 전반에서 요구됨
- 개발자는 데브옵스와 보안을 연결해 보안 사용자가 돼야
editor@itworld.co.kr