[문제] 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP: Cloud Native Application Protection Platform)의 개념과 등장 배경을 설명하고, CNAPP을 구성하는 핵심 보안 기능(CSPM, CWPP, CIEM, KSPM)을 각각 비교·설명하시오. 또한 컨테이너·쿠버네티스 환경에서의 보안 위협과 CNAPP 적용 전략을 논하시오.
1. CNAPP의 개념과 등장 배경
CNAPP(Cloud Native Application Protection Platform)은 클라우드 인프라, 워크로드, 애플리케이션을 통합된 단일 플랫폼에서 보호하는 클라우드 보안 솔루션이다. Gartner가 2021년 제시한 개념으로, 기존에 각각 운영되던 CSPM·CWPP·CIEM 등을 하나로 통합한다.
등장 배경:
- 마이크로서비스·컨테이너·서버리스 도입으로 공격 표면(Attack Surface) 급증
- 멀티클라우드 환경에서 보안 솔루션 파편화 → 가시성 저하
- 클라우드 구성 오류(Misconfiguration)가 데이터 유출의 주요 원인으로 부각
- “Shift Left” 보안: 개발 초기 단계부터 보안을 내재화하는 DevSecOps 문화 확산
2. CNAPP 핵심 구성 요소 비교
| 구성 요소 | 풀네임 | 보호 대상 | 주요 기능 |
|---|---|---|---|
| CSPM | Cloud Security Posture Management | 클라우드 구성·설정 | 잘못된 IAM·S3·네트워크 설정 탐지, CIS Benchmark 준수 검사, 자동 교정 |
| CWPP | Cloud Workload Protection Platform | VM·컨테이너·서버리스 워크로드 | 런타임 위협 탐지, 취약점 스캔, 행위 기반 이상 탐지 |
| CIEM | Cloud Infrastructure Entitlement Management | IAM 권한·접근 | 과도한 권한 탐지, 최소 권한 원칙 적용, 권한 남용 감지 |
| KSPM | Kubernetes Security Posture Management | K8s 클러스터·Pod | RBAC 정책 검토, Pod Security Standards 준수, 네트워크 정책 감사 |
3. 컨테이너·쿠버네티스 환경 보안 위협
- 컨테이너 이미지 취약점: 취약한 베이스 이미지, 오픈소스 라이브러리 CVE 포함
- RBAC 과도한 권한: ClusterAdmin 권한 남용, 서비스 계정 토큰 탈취
- 런타임 공격: 컨테이너 탈출(Container Escape), 호스트 파일시스템 접근
- 공급망 공격: 악성 이미지 레지스트리, 서명 없는 이미지 배포
- 네트워크 측면 이동: 내부 서비스 간 무분별한 통신 허용(East-West Traffic)
- Secrets 관리 실패: 환경 변수에 API 키·비밀번호 평문 저장
4. CNAPP 적용 전략
- Shift Left 보안: CI/CD 파이프라인에서 IaC 스캔(Checkov, tfsec), 이미지 취약점 스캔(Trivy, Snyk) 통합
- 런타임 보안: Falco 기반 이상 행위 탐지, eBPF를 활용한 시스템 콜 모니터링
- 최소 권한 원칙: CIEM으로 미사용 IAM 권한 자동 제거, Just-in-Time 접근 제어
- 이미지 신뢰 체계: Notary/Cosign으로 이미지 서명, 검증된 이미지만 배포
- 네트워크 세그멘테이션: K8s NetworkPolicy + 서비스 메시(Istio) mTLS 적용
[ 결론 ]
CNAPP은 클라우드 네이티브 환경의 복잡한 보안 요구를 CSPM·CWPP·CIEM·KSPM을 통합하여 해소한다. 단순 도구 도입을 넘어 “Security as Code” 문화와 결합하여 개발 초기부터 보안을 내재화할 때 진정한 효과를 발휘한다. 컨테이너·K8s 보안 위협에 대응하기 위해 공급망부터 런타임까지 전 단계에 걸친 종심(縱深) 방어 전략이 필수적이다.