클라우드 네이티브 보안의 필요성
클라우드 네이티브 환경은 컨테이너, 마이크로서비스, 서버리스, 동적 오케스트레이션으로 구성되어 전통적인 보안 도구가 한계를 보입니다. 정보보안기사 시험에서는 CNAPP, CWPP, 런타임 보안, eBPF 기반 탐지가 핵심 출제 범위입니다.
CNAPP(Cloud-Native Application Protection Platform)
Gartner가 정의한 클라우드 네이티브 보안 통합 플랫폼으로 CSPM, CWPP, CIEM을 통합합니다.
- CSPM(Cloud Security Posture Management): 클라우드 설정 오류 탐지. S3 버킷 공개 노출, 과도한 IAM 권한, 암호화 미적용 탐지
- CWPP(Cloud Workload Protection Platform): 워크로드(VM·컨테이너·서버리스) 런타임 보호. 취약점 스캔, 이상 행위 탐지
- CIEM(Cloud Infrastructure Entitlement Management): 클라우드 권한 관리. 과도한 권한 식별 및 최소 권한 권고
컨테이너 런타임 보안과 eBPF
eBPF(extended Berkeley Packet Filter)는 리눅스 커널 내에서 사용자 정의 프로그램을 안전하게 실행하는 기술입니다.
- Falco: eBPF 기반 CNCF 런타임 보안 도구. 시스템 콜 모니터링으로 비정상 행위 탐지. “컨테이너 내 쉘 실행”, “민감한 파일 접근” 경보
- Tetragon(Cilium): eBPF 기반 커널 수준 보안 관찰. 프로세스 실행, 네트워크 연결, 파일 접근 추적
- Seccomp/AppArmor/SELinux: 컨테이너 시스템 콜 제한. K8s Security Context에서 설정
컨테이너 드리프트(Container Drift)
배포 후 컨테이너 내부에서 이미지에 없던 파일이 생성되거나 변경되는 현상입니다. 이는 침해 또는 내부자 위협의 지표입니다.
- 불변 컨테이너(Immutable Container): 런타임 중 파일시스템 변경 불가. 드리프트 방지 원칙
- Drift Detection: Sysdig, Prisma Cloud 등에서 기준 이미지 대비 런타임 차이 탐지
소프트웨어 공급망 보안
- SBOM(Software Bill of Materials): 소프트웨어 구성 요소 목록. CycloneDX, SPDX 형식. 오픈소스 의존성 투명화
- Sigstore/cosign: 컨테이너 이미지와 아티팩트에 서명. 공급망 무결성 검증
- SLSA(Supply chain Levels for Software Artifacts): Google이 제안한 소프트웨어 공급망 보안 프레임워크. 레벨 1~4
정보보안기사 기출 핵심 정리
- CNAPP = CSPM + CWPP + CIEM 통합 플랫폼
- CSPM = 클라우드 설정 오류, CWPP = 워크로드 런타임 보호
- eBPF = 커널 수준 보안 관찰(Falco, Tetragon)
- 컨테이너 드리프트 = 이미지 대비 런타임 변경 = 침해 지표
- SBOM = 소프트웨어 구성 요소 명세서