📌 원문 문제
A 금융기관은 핵심 업무 시스템을 클라우드 네이티브 환경(Kubernetes, MSA)으로 전환하려 한다. 다음 내용을 설명하시오.
가. 클라우드 네이티브 환경의 보안 위협 유형
나. 컨테이너 보안의 4C(Cloud, Cluster, Container, Code) 레이어별 보안 방안
다. 서비스 메시(Service Mesh)를 활용한 보안 강화 방안
라. 금융 클라우드 컴플라이언스(FSCSP, ISMS-P) 준수 방안
출제 의도 분석
금융 분야의 클라우드 전환은 보안 규제 준수가 가장 큰 과제입니다. 4C 보안 레이어는 Kubernetes 공식 문서에서도 다루는 개념으로, 실무와 시험 모두에서 중요합니다. FSCSP와 ISMS-P를 연계하여 서술하면 금융 분야 특성을 잘 이해한 답안으로 평가받습니다.
가. 클라우드 네이티브 환경 보안 위협
| 위협 유형 | 세부 내용 |
|---|---|
| 컨테이너 탈출(Container Escape) | 취약한 컨테이너 런타임을 통해 호스트 OS 권한 획득 |
| 과도한 권한(Over-Privileged Pod) | hostPID, hostNetwork 설정 남용으로 호스트 자원 접근 |
| 시크릿 노출(Secret Exposure) | 컨테이너 이미지 또는 환경변수에 패스워드·API키 하드코딩 |
| API 서버 공격 | Kubernetes API 서버 취약점 또는 인증 우회로 클러스터 장악 |
| 측면 이동(Lateral Movement) | MSA 구조에서 서비스 간 통신을 통해 내부 침투 확산 |
| 공급망 공격 | 악성 컨테이너 이미지를 레지스트리에 배포 |
나. 4C 레이어별 보안 방안
다. 서비스 메시를 활용한 보안 강화
서비스 메시(Istio, Linkerd)는 MSA의 서비스 간 통신을 제어하는 인프라 레이어로, 다음 보안 기능을 제공합니다:
- mTLS(Mutual TLS): 모든 서비스 간 양방향 인증서 기반 암호화 통신. “누가 누구에게 말하는지” 검증
- 인가 정책(Authorization Policy): 어떤 서비스가 어떤 서비스의 어떤 엔드포인트에 접근 가능한지 세밀하게 제어
- 트래픽 관찰(Observability): 모든 서비스 간 트래픽의 지표·로그·추적 자동 수집. 이상 트래픽 탐지
- 제로트러스트 기반 접근: 내부 네트워크도 신뢰하지 않고, 모든 연결에 인증·인가 적용
라. 금융 클라우드 컴플라이언스 준수
| 규제 | 주요 요구사항 | 클라우드 네이티브 적용 방안 |
|---|---|---|
| FSCSP (금융보안원 클라우드 가이드) | 중요 정보 암호화, 접근통제, 감사 로그 | etcd 암호화, RBAC, CloudTrail/Audit Log |
| ISMS-P | 접근통제, 암호화, 취약점 관리, 사고 대응 | NetworkPolicy, mTLS, Trivy 스캔, SIEM 연동 |
| 전자금융감독규정 | 중요업무 국내 데이터 보관, DR 구성 | 국내 리전 사용, Multi-AZ 클러스터, 백업 정책 |
금융 클라우드에서는 망분리 요건이 핵심 과제입니다. Kubernetes의 Namespace 분리, NetworkPolicy 기반 논리적 망분리를 통해 물리적 망분리에 준하는 수준의 격리를 구현합니다.