레드햇 오픈시프트는 ‘통합 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)’이다
- 컨테이너·쿠버네티스 기반 애플리케이션 수명주기 전단계 보안 지원
컨테이너와 쿠버네티스는 비즈니스 민첩성을 확보하고 디지털 혁신을 가속화하는 클라우드 네이티브 기술이다. 무엇보다 기업의 애플리케이션 개발과 운영을 탈바꿈해 보다 빠르게 애플리케이션을 개발·수정하고 배포·확장할 수 있도록 지원하는 혁신 기술로 자리잡았다.
하지만 실제로 이같은 기대효과를 얻기 위해서는 개발부터 배포까지 일관되고 자동화된 방식으로 애플리케이션 운영·관리가 이뤄져야 한다. 또 개발 단계부터 보안을 적용해 안전하고 안정적인 데브옵스(DevOps) 환경에서 클라우드 네이티브 애플리케이션 서비스를 제공하는 것도 중요하다.
컨테이너와 쿠버네티스를 사용하는 기업들이 확산되면서, 최근 들어 보안 문제로 클라우드 네이티브 애플리케이션 환경에서 얻을 수 있는 ‘빠른 서비스 출시’ 이점을 비롯해 다양한 혜택이 반감되거나, 복잡성이 커지고 운영관리 부담이 증가하는 문제가 발생하고 있다.
구성 오류·보안취약점·런타임 보안 문제 실제 경험
레드햇이 300명 이상의 데브옵스(DevOps)·엔지니어링·보안 전문가들을 대상으로 조사·분석한 결과를 담아 최근 발표한 ‘2022년 쿠버네티스 보안 현황 리포트’에 따르면, 최근 1년 동안 조사 대상 기업의 55%는 보안 문제로 애플리케이션 배포나 출시를 연기했다. 또 응답자의 93%는 1년 동안 쿠버네티스 환경에서 최소 한 건 이상의 보안 인시던트를 경험했다. 주요 요인은 구성 오류(53%), 보안취약점(38%), 런타임 보안 인시던트(30%), 감사 실패(22%) 등이다. 그 결과, 같은 기간 31%는 보안 문제로 인해 매출이나 고객 손실로 이어지는 상황을 경험한 것으로 나타났다.
이 조사에서 기업들은 컨테이너와 쿠버네티스 환경에서 구성 오류로 인한 보안취약성 노출을 가장(46%) 가장 우려하는 위험요소로 보고 있다. 이는 실제 공격 우려(16%)보다도 세배 가까이 높은 수준이다. 설정 오류를 방지하려면 구성 관리를 최대한 자동화해 안전하게 구성할 수 있는 환경이 필요하다. 두번째 우려사항은 취약점(28%)이며, 컴플라이언스 실패는 9%에 불과했다.
또한 기업들은 컨테이너 수명주기의 런타임 단계도 크게 우려하고 있다. 런타임 보안 문제 역시 대부분 빌드나 배포 단계의 구성 오류같은 보안 결함으로 인해 발생할 수 있다. 런타임 단계에서 발견되는 보안 문제는 수정하는데 들어가는 비용이 더 커질 수 있다고 보고서는 지적했다.
컨테이너와 쿠버네티스 보안위험요소와 클라우드 네이티브 환경 걸림돌
미국 국립표준기술연구소(NIST)는 SP(Special Publication) 800-190 ‘애플리케이션 컨테이너 보안 가이드’는 핵심 구성요소 5가지 이미지, 레지스트리, 오케스트레이터, 컨테이너, 호스트 운영체제(OS)의 위험요소를 제시하고 있다.
먼저 이미지에 취약점이 발견되거나 잘못된 설정으로 외부 공격에 노출될 수 있다. 이로 인해 악성코드나 악성파일이 이미지에 포함되거나 평문으로 저장된 패스워드 등과 같은 기밀정보가 그대로 노출되는 일이 발생할 수 있다. 신뢰성이 검증되지 않은 이미지를 사용할 경우에도 위험성이 있기 때문에 주의해야 한다.
레지스트리 관련 위험요소는 안전하지 않은 채널로 연결하거나, 레지스트리의 노후된 이미지 사용, 불충분한 인증과 인증이 꼽힌다.
컨테이너 위험요소는 런타임 취약점, 안전하지 않은 런타임 설정, 제한되지 않은 네트워크 접근 외에도 컨테이너에서 실행되는 애플리케이션의 결함으로 인한 위험 등이 있다. 개발 환경에서 테스트 목적으로 공인되지 않은 컨테이너를 사용할 경우 침해 가능성이 높아질 수 있으며, 이같은 방식의 컨테이너의 사용을 개발팀 혹은 보안 관리자가 인지하지 못한 채 계속 유지돼 공격 루트를 제공할 수 있다는 게 전문가들의 지적한다.
쿠버네티스와 같은 오케스트레이터 위험요소는 대부분의 오케스트레이터 사용자가 모두 관리자라는 점에서 비롯된다. 관리자는 전체 환경에 대한 통제권을 가져야 한다는 가정에 따라 설계되기 십상이다. 따라서 사용자 및 그룹에 제한된 권한을 부여하고 이를 관리해야 한다. 악의적인 관리자나 부주의한 사용자(관리자)에 의해 인가되지 않은 접근으로 침해되거나 운영에 영향을 줄 수 있다. 아울러 업무 중요도나 용도에 따른 구분이 이뤄지지 않은 상태에서 취약점이 노출되면 중요 업무에 악영향을 미칠 수 있다.
호스트 OS 위험요소는 무엇보다 공격 표면적이 넓다는 것이다. 컨테이너 전용 OS보다 범용 호스트 OS가 공격 표면이 확장돼 공격 위협도 크다. 또 부적절한 사용자 접근 위험, 호스트 OS 파일 시스템 변조로 인한 컨테이너 침해 위험성이 있다.
컨테이너와 쿠버네티스 기반 클라우드 네이티브 애플리케이션 보호를 위해서는 하이브리드 클라우드 환경을 아우르는 모든 인프라와 더불어 애플리케이션 개발 수명주기의 모든 단계, 즉 코딩과 테스트를 포함한 빌드, 배포, 운영 환경까지 워크로드 전반에 걸친 보안이 필요하다. 이를 위해서는 데브옵스(DevOps)에서 나아가 전 단계에서 보안을 고려하고 적용한 데브섹옵스(DevSecOps)를 포괄해 보안 체계와 규정 준수까지 모두 통합돼 이뤄져야 한다.
컨테이너와 쿠버네티스 기반 클라우드 네이티브 애플리케이션 보안 위협과 컴플라이언스 대응이 하루아침에 쉽게 이뤄지지 않는다. 새로운 기술에 대한 지식이 부족한 상황에서 새로운 서비스를 구현하는 것이 쉽지 않다.
기존에는 개발과 운영, 보안 조직이 서로 분리 운영되면서 서로 다른 역할과 기능을 수행해왔기 때문에, 기술 격차와 관점의 차이가 존재할 수밖에 없다. 점점 애플리케이션과 인프라 간 경계도 모호해지는 상황에서 데브옵스 담당자들이 지속적인 통합과 배포(CICD)를 수행하는 것이 고민이 될 수밖에 없다. 더욱이 보안은 이전까지 애플리케이션 개발과 출시를 지연시키는 걸림돌로 작용했다. 이로 인한 보안담당자들과 개발자들 간의 간극이 존재한다. 이로 인해 결국 보안이 통합적으로 이뤄지지 않고 파편화되면서 보안이 중복되고 복잡해지기 일쑤다.
스택록스 기술 ‘레드햇 오픈시프트’에 적용, 쿠버네티스 통합보안 지원 강화
오픈소스 솔루션 분야 선도기업인 레드햇은 엔터프라이즈 리눅스를 시작으로 엔터프라이즈 오픈소스 보안과 클라우드 네이티브 환경 보안과 표준 제정을 위한 투자를 강화해 왔다.
더욱이 엔터프라이즈 쿠버네티스 플랫폼 ‘레드햇 오픈시프트(OpenShift)’를 주축으로 하이브리드 클라우드와 쿠버네티스 기반 클라우드 네이티브 애플리케이션 보호 기술을 제공하고 있다.
이에 더해 지난해 초 컨테이너 및 쿠버네티스 네이티브 보안 전문기업인 스택록스(StackRox)를 인수한 이후 ‘클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)’에 걸맞게 고도화했다. 레드햇 오픈시프트는 스택록스의 기술을 통합해 하이브리드 클라우드 인프라 환경에 관계없이 운영되는 애플리케이션 수명주기 전단계에 대한 일관된 통합 보안 환경을 지원한다.
장민준 한국레드햇 부장은 “레드햇 오픈시프트는 최초의 통합 쿠버네티스 네이티브 보안 플랫폼이라고 할 수 있다. 빌드, 배포, 런타임 등 전체 수명주기가 보안 범주 안에 포함돼 있고, 부가적으로 이미지 스캐닝, 레지스트리, CICD 툴 등 여러 구성요소와 통합돼 있는 플랫폼”이라고 강조하고, “애플리케이션 수명주기를 관리하는 컨트롤러인 오퍼레이터를 통해 통합이 자동화된다. 오퍼레이터가 OS, 쿠버네티스 클러스터 서비스, 플랫폼과 애플리케이션·개발 서비스까지 모든 영역을 지속적으로 스캐닝하고 모니터링한다”고 설명했다.
레드햇 오픈시프트는 컨테이너 호스트부터 쿠버네티스, 클러스터 서비스, 플랫폼 서비스, 디벨로퍼 서비스, 애플리케이션 서비스까지 자동화된 풀스택 설치를 지원하는 오케스트레이터로, 다양한 클라우드 환경과 온프레미스까지 원활한 컨테이너와 쿠버네티스 배포·관리를 지원한다.
레드햇은 스택록스를 오픈시프트에 통합해 ‘레드햇 오픈시프트 플랫폼 플러스(OpenShift Platform Plus)’를 출시했다. 오픈시프트 플랫폼 플러스는 기존 통합된 플랫폼 외에 취약점 분석, 런타임 행위 분석, 구성(config) 분석, CICD를 위한 애플리케이션프로그래밍인터페이스(API) 분석 등 CNAPP에 갖춰야 할 보안 요소들을 모두 포함하고 있다.
오픈시프트 플랫폼 플러스에 포함된 구성요소들은 오픈시프트와 강력한 통합과 호환성을 지원해 보안 파편화 문제를 해소하는 것이 특징이다. 예를 들어, 레드햇은 NIST SP 800-190에서 권고하는 이미지와 레지스트리 위협에 대응하는 솔루션으로 ‘레드햇 키(Quay)’를 별도로 제공한다. 키(Quay) 전용 오퍼레이터를 통해 지속적으로 이미지 스캐닝 작업에 대한 결과값을 오픈시프트와 통합해 보여준다. 결과값을 오픈시프트 플랫폼의 콘솔 대시보드에서 확인할 수 있게 해 통합된 가시성을 제공한다. 
레드햇 ACS, 쿠버네티스 네이티브 컨테이너 모든 구성요소 보호
오픈시프트 플랫폼 플러스 일부 구성요소로, 레드햇은 ‘레드햇 쿠버네티스용 어드밴스드 클러스터 시큐리티(Red Hat Advanced Cluster Security for Kuberetes, 이하 ACS)’도 제공한다. ACS는 스택록스 기술을 바탕으로 새롭게 출시된 쿠버네티스 네이티브 컨테이너 보안 플랫폼으로, 구축·배포·실행 전반에 걸쳐 애플리케이션을 보호한다. 퍼블릭·프라이빗·하이브리드·멀티 클라우드 인프라 환경에 관계없이 설치 가능한 ACS는 기존 오픈시프트에서 제공하는 워크로드 보안을 더욱 확장한다.
지속적인 탐지 기능으로 컨테이너와 쿠버네티스 환경에서 애플리케이션이 구축될 때 보안 문제를 찾아 수정해 빠른 제공이 가능하도록 하고, 쿠버네티스 플랫폼 구성을 보호하고 애플리케이션 배포 관련 보안 정책을 자동으로 적용해 인프라를 보호한다. 아울러 비정상적인 애플리케이션 동작을 모니터링해 대응한다. 심층적인 데이터 수집과 상관관계를 활용해 위협을 식별하고 포렌식 분석을 가능하게 한다.
ACS는 레드햇 오픈시프트 플랫폼 플러스 일부로 사용할 수 있고, 독립형 제품으로도 사용 가능하다. 아마존웹서비스(AWS, 아마존 EKS), 구글 클라우드(GKE), 마이크로소프트 애저(AKS)를 지원한다.
레드햇 오픈시프트 플랫폼 플러스로 사용할 경우 많은 장점을 제공한다. 김명환 한국레드햇 차장은 “ACS는 NIST가 제시하는 애플리케이션 컨테이너 보안 가이드의 주요 위험요소에 모두 대응한다”라면서 “오픈시프트와 함께 사용하면, 오퍼레이터를 통한 설치 구성과 업그레이드 절차를 단순화해 보안 배포와 운영을 가속화할 수 있고, 컴플라이언스 자동화를 활성화해 정책 반영 작업에 시간과 노력을 줄일 수 있다. 뿐만 아니라 다중 클러스터 환경에서 보다 쉽게 확장 가능하고 반복 가능하며, 일관되고 표준화된 보안 정책을 시행할 수 있다”고 말했다.
레드햇은 이들 애플리케이션 보안 솔루션 외에도 안전한 공급망과 생태계를 갖추고 있다. 커뮤니티에서부터 시작된 검증과 레드햇과 레드햇 고객들의 검증이 된 안정되고 보안에 강화된 베이스 이미지들을 제공한다. 이 이미지들을 통해 고객들이 안전한 레지스트리를 만들 수 있고, 이렇게 구성된 안전하고 신뢰받을 수 있는 레지스토리는 결국 고객사의 보안 수명주기를 시작할 수 있는 기초가 된다는 게 회사측 설명이다. 보안 수명주기가 시작되고 난 이후부터는 오픈시프트 플랫폼 플러스에서 스캐닝하고 모니터링을 할 수 있는 보안 환경을 제공할 수 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
