대부분의 보안 팀은 공통적이고 지속적인 과제에 직면해 있습니다. 바로 런타임 중 컨테이너화된 애플리케이션을 보호하는 일입니다. 이 단계에서 컨테이너는 권한 상승 및 제로데이 공격과 같은 위협에 가장 취약합니다. 실제로 최근 연구에 따르면, 컨테이너를 사용하는 조직의 85%가 2023년에 사이버 보안 사고를 경험했으며, 이 중 32%가 런타임 중에 발생했습니다.
그렇다면 단 한 번의 실수가 발생하면 어떻게 될까요? 심각한 침해, 운영 중단 및 다운타임이 발생하게 됩니다. 이는 조직이 절대 원하지 않는 결과입니다. 이 글에서는 컨테이너 런타임 보안을 개선하기 위한 실행 가능한 통찰력, 위협 요소 및 검증된 전략을 제공합니다.
컨테이너 런타임 보안이란 무엇인가요?
컨테이너 런타임 보안은 프로덕션 환경에서 컨테이너가 실행 중인 상태를 보호하는 관행을 의미합니다. 실행 중 발생할 수 있는 취약점을 식별하고 완화하기 위한 실시간 모니터링 및 위협 탐지가 포함됩니다. 컨테이너 동작을 지속적으로 모니터링하고 적절한 보안 정책을 적용함으로써 악의적인 활동, 무단 접근, 시스템 오설정을 방지합니다.
컨테이너 런타임 보안의 중요성
컨테이너는 실행 중에 가장 취약합니다. 정적 분석이나 배포 전 점검과 달리 런타임 보안은 컨테이너 실행 중 취약점을 악용할 수 있는 실시간 위협을 해결합니다. 컨테이너 런타임 보호는 애플리케이션 무결성을 보장하고, 규정 준수를 지원 및 유지하며, 민감한 데이터를 보호합니다.
컨테이너 런타임 보안을 소홀히 할 경우 발생하는 숨겨진 비용
컨테이너 런타임 보안은 선택 사항이 아닌, sine qua non – 조직에 필수적인 요소입니다. 그 중요성을 이해하지 못하면 막대한 비용이 발생할 수 있습니다. 몇 가지 예를 들어 보겠습니다:
- 데이터 유출: 대부분의 컨테이너에는 민감하고 기밀 정보가 포함되어 있습니다. 대개 고객의 정보입니다. 이 데이터의 무결성을 유지하는 데 소홀하면 신뢰 위반으로 간주되어 평판에 심각한 타격을 줄 수 있습니다. 결국 데이터와 신뢰도를 동시에 잃게 되며, 여러 건의 고비용 소송에 휘말릴 수도 있습니다.
- 운영 중단: 조직의 성공은 기름칠이 잘된 기계처럼 원활하게 작동하는 데 달려 있습니다. 보안 침해는 계획에 차질을 빚는 것과 같아 전체 운영이 원치 않는 비용이 드는 중단을 강요받게 됩니다. 단 한 번의 보안 사고만으로도 생산성과 수익성이 저하될 수 있습니다.
- 지적 재산권 손실: 컨테이너에는 독점 알고리즘, 영업 비밀, 고유 코드 등 귀중한 내부 데이터도 저장됩니다. 공격자가 이 데이터에 접근할 경우 특정 제품 및 서비스 제공을 완전히 중단해야 할 수도 있습니다. 최악의 경우 경쟁사가 귀사의 지적재산권을 확보하면 시장에서의 경쟁 우위와 고객 기반을 잃을 수 있습니다.
- 보험료 인상: 기업들이 사이버보안을 보험에 가입한다는 사실을 알고 계셨나요? 주로 두 가지 이유에서입니다. 투자 차원과 보안 침해로 인한 비용을 충당하기 위해서입니다. 그러나 보안 사고가 발생하면 보험료율이 상승합니다. 침해의 심각성과 복구 조치 방식에 따라 보험 적용이 완전히 거부될 수도 있습니다.
- 높은 복구 비용: 침해 후 컨테이너를 복구하는 것은 또 다른 돈(블랙홀)을 먹는 일입니다. 또한 모든 것을 다시 가동시키기 위해 상당한 자원을 전용해야 합니다. 피해를 복구하려면 취약점을 패치하고, 구성을 업데이트하며, 손상된 시스템을 복구해야 합니다. 하지만 그게 전부가 아닙니다. 고객의 신뢰를 재구축하기 위해 부지런히 노력해야 합니다. 보안 프로토콜을 재감사하고 개선함으로써 이를 달성할 수 있습니다. 그리고 이러한 모든 해결책은 저렴하지 않습니다.
- 규정 준수 문제: 금융 및 의료 서비스는 민감한 고객 정보 유출 및 규정 미준수로 부과되는 벌금이라는 추가 비용이 발생합니다. 또한 규제 기관의 감시가 강화됩니다.
컨테이너 런타임 보안은 어떻게 작동하나요?
컨테이너 런타임 보안은 실행 전반에 걸쳐 컨테이너의 동작을 지속적으로 감시하고 분석하는 순환 구조로 작동합니다. 주요 구성 요소는 다음과 같습니다:
- 실시간 위협 탐지: 런타임 보안의 기본적이면서도 매우 중요한 기능 중 하나는 위협이 발생할 때 이를 탐지하는 것입니다. 고급 보안 도구를 활용하여 컨테이너 활동을 면밀히 감시합니다. 또한 무단 시스템 호출, 비정상적인 네트워크 연결, 권한 상승 시도 등 의심스러운 행동을 탐지합니다. 컨테이너가 접근 권한을 초과한 파일을 획득하려 하거나 외부 IP 주소에 연결을 시도하면 시스템이 즉시 위험 신호를 발령합니다. 보안 팀에 최대한 빨리 경보를 발령함으로써 피해를 더 효과적으로 통제할 수 있습니다.
- 정책 적용: 컨테이너 런타임 보안은 단순한 모니터링을 넘어, 일련의 규칙과 정책을 통해 컨테이너가 수행할 수 있는 작업을 정의하는 데 도움을 줍니다. 이러한 사전 정의된 경계는 컨테이너의 리소스, 네트워크, 데이터베이스 등에 대한 접근을 규제합니다. 또한 컨테이너 간 통신을 감독하며, 설정된 규칙에서 벗어나는 것을 차단합니다.
- 사고 대응: 런타임 보안이 컨테이너 내 위협을 감지하면 즉시 영향을 받은 컨테이너 격리, 보안 팀 경고 등의 조치를 취합니다. 또한 포렌식 분석과 향후 개선을 위해 사고 정보를 기록합니다. 여기서 중요한 점은 위협 완화를 위해 인적 개입이 필요하다는 것입니다.
- 지속적 모니터링: 런타임 보안은 컨테이너를 지속적으로 모니터링하여 프로세스 위생을 유지하고 컨테이너 상태에 대한 실시간 인사이트를 제공합니다.
CNAPP 마켓 가이드모든 기업이 인지해야 할 5가지 중대한 컨테이너 런타임 보안 위협
다음은 모든 기업이 반드시 알아야 할 5가지 중대한 컨테이너 런타임 보안 위협을 소개합니다:
#1 구성 드리프트(Configuration Drift)
2018년 테슬라의 2018년 쿠버네티스 콘솔 침해 사건이 구성 드리프트로 인해 발생했다는 사실을 알고 계셨나요? 테슬라의 쿠버네티스 콘솔은 암호 보호 없이 노출된 상태로 방치되어 공격자들이 암호화폐 채굴을 할 수 있게 했습니다. 이러한 구성 드리프트는 인지되지 않거나 승인되지 않은 수정으로 인해 예상 상태와 차이가 발생할 때 발생합니다. 장기적으로 이는 새로운 위험, 보안 침해, 해커의 표적이 될 수 있는 취약점을 초래합니다.
#2 악성 코드 실행
컨테이너는 실행 중에 가장 취약한 상태이며, 공격자들은 이 기회를 노려 악성 스크립트나 애플리케이션을 은밀하게 주입합니다. 힐튼 호텔는 2020년에 해커들이 도커 컨테이너를 악용하여 고객 데이터에 접근한 사건을 통해 이러한 위협을 직접 경험했습니다. 설상가상으로, 그들은 나중에 랜섬웨어 공격을 촉발했습니다.
#3 컨테이너 이미지의 악성코드
컨테이너 이미지는 컨테이너가 구축되는 기초 블록입니다. 그러나 이러한 이미지가 검증되지 않은 출처에서 획득된 경우, 악성코드로 가득할 가능성이 높습니다. 2019년에 발생한 Docker Hub 악성코드 사건을 알고 계십니까? 암호화폐 채굴기가 포함된 수백 개의 악성 이미지가 Docker에 호스팅되었습니다. 이 사건이 발견된 이후 Docker는 이러한 침해를 방지하기 위해 보안을 강화했습니다.
#4 권한 상승 공격
컨테이너 내에서 사용자는 정보 접근 권한을 부여받습니다. 하지만 공격자나 해커가 이러한 권한을 획득한다면 어떻게 될까요? 그들은 조직의 자원을 악용하고, 악성코드를 심으며, 비즈니스 운영을 방해할 수 있습니다. 사이버 보안 업계에서 CVE-2019-5736 실행 취약점을 통해 공격자가 호스트에 대한 루트 권한을 획득한 사건을 잊을 수 없습니다. 그들은 이 결함을 악용하여 호스트의 바이너리를 덮어씌웠습니다.
#5 커널 익스플로잇
호스트 머신과 컨테이너는 종종 커널을 공유하는데, 이는 필연적으로 양쪽 모두 커널 익스플로잇에 취약하게 만듭니다. 최근에 중대한 리눅스 커널 취약점이 발견되었습니다. 공격자는 읽기 전용으로 마운트된 컨테이너의 파일을 덮어쓸 수 있는 권한을 획득했습니다. 이러한 사고를 사전에 방지하려면 커널을 정기적으로 업데이트하고 패치하는 동시에 도커 런타임 보안 도구를 구현해야 합니다.
환경 내 런타임 위험을 탐지하고 해결하는 방법?
애플리케이션 보안을 유지하는 최선의 방법은 컨테이너화된 환경에서 런타임 위험을 탐지하고 해결하는 것입니다. 그러나 이를 위해서는 체계적인 접근 방식이 필요합니다. 따라서 이러한 위험을 효과적으로 탐지하고 해결하는 데 도움이 되는 단계별 가이드를 소개합니다.
런타임 위험 탐지
- 지속적인 실시간 모니터링: 최적의 컨테이너 런타임 보안을 달성하기 위한 첫 번째 단계는 런타임 활동을 실시간으로 모니터링할 수 있는 도구를 확보하는 것입니다. 이러한 도구는 이벤트 스트림을 모니터링하고, 리소스 사용량 변화를 추적하며, 컨테이너 운영상의 이상 징후를 식별할 수 있습니다.&
프로 팁: 권한 상승이나 무단 시스템 호출이 감지되는 즉시 경보를 발령하도록 도구를 구성하는 것을 잊지 마십시오. 이러한 경보를 통해 위협 완화 조치를 신속히 진행할 수 있습니다.
- 행동 분석: 다음 단계는 정상적인 컨테이너 활동의 기준선을 정의하는 것입니다. 시스템이 리소스 소비, 네트워킹, 활동 등과 같은 컨테이너 행동의 일반적인 패턴을 학습하면, 이를 기준으로 편차를 정확히 파악할 수 있습니다. 행동 분석은 정교한 위협(내부자 공격)에 대처할 때 가장 유용한 도구입니다.
전문가 팁: 표준 시그니처 기반 방식은 정교하고 미묘한 위협을 식별하는 데 항상 효과적이지는 않습니다.
- 스냅샷 스캔: 스냅샷 스캔은 컨테이너 런타임의 다양한 단계에서 스냅샷을 찍는 것을 의미합니다. 초기 배포 시 식별되지 않은 잘못된 구성이나 오래된 소프트웨어 구성 요소와 같은 취약점을 탐지할 수 있습니다.
프로 팁: 컨테이너에 새로운 라이브러리나 종속성이 지속적으로 업데이트되는 경우, 스냅샷 스캔은 컨테이너 런타임 보안 루틴에서 필수적인 단계입니다.
- 시스템 호출 모니터링: 컨테이너 프로세스는 호스트 시스템 커널에 자주 요청을 보냅니다. 이러한 '시스템 호출(syscalls)'은 컨테이너가 파일 접근이나 메모리 관리를 위해 운영체제와 상호작용하는 데 도움을 줍니다. 다음 단계는 이러한 호출을 정기적으로 모니터링하고 의심스러운 호출을 필터링할 수 있는 시스템을 구현하는 것입니다.
프로 팁: 사용자 ID나 그룹 ID를 변경할 수 있는 setuid 또는 setgid 호출에 대한 필터를 반드시 설정하세요.
- 침입 탐지 시스템(IDS): 런타임 위험 탐지의 마지막 단계는 컨테이너 내 네트워크 트래픽, 파일 무결성 및 프로세스 활동을 모니터링하여 잠재적 침입을 탐지하기 위한 컨테이너 전용 IDS 솔루션 배포입니다.
프로 팁:&IDS를 구성하여 무단 접근, 데이터 유출 시도 또는 컨테이너 간 의심스러운 통신을 탐지할 수 있습니다.
런타임 위험을 탐지한 후에는 이러한 위협에 대응하고 운영에 미치는 영향을 최소화해야 합니다. 대응을 관리할 수 있는 몇 가지 방법을 살펴보겠습니다:
- 자동화된 사고 대응: 위협을 탐지하면 피해를 최소화하기 위해 대응을 자동화합니다. 여기에는 손상된 컨테이너를 격리하거나 종료하거나 이전 버전으로 롤백하는 작업이 포함됩니다. 따라서 컨테이너가 손상된 경우 시스템이 자동으로 백업 이미지로 복구하거나 안전한 버전의 컨테이너 업데이트를 트리거할 수 있습니다.
- 구성 관리: 관리되지 않은 구성은 드리프트(drift)를 초래할 수 있습니다. 정기적으로 구성을 검토하고 업데이트함으로써 이를 방지할 수 있습니다. 이를 통해 컨테이너가 과도한 권한, 불필요한 네트워크 접근, 잘못 구성된 스토리지 볼륨으로 실행되지 않도록 보장합니다.
- 액세스 제어: 역할 기반 액세스 제어(RBAC)를 사용하여 엄격한 액세스 제어를 구현하십시오. 사용자와 프로세스에 대한 명확한 역할을 정의하고, 컨테이너화된 환경 내에서 수행할 수 있는 작업을 제한하는 정확한 권한을 부여할 수 있습니다. 중요한 구성 요소에 대한 접근을 제한함으로써, 컨테이너가 침해될 경우 공격자가 민감한 리소스를 제어할 위험을 줄일 수 있습니다.
- 보안 솔루션과의 통합: 기술 스택 내 다른 보안 솔루션과 런타임 보안 도구가 원활하게 통합되도록 하십시오. 컨테이너 보안 도구를 SIEM(보안 정보 및 이벤트 관리) 시스템 또는 클라우드 보안 플랫폼과 통합하여 경보를 상관 분석하고, 광범위한 공격 패턴을 식별하며, 인프라에 대한 종단 간 가시성을 유지하십시오.
- 지속적인 취약점 스캔: 런타임 중 알려진 취약점 및 악성코드에 대해 정기적으로 컨테이너 런타임 스캔을 수행하십시오. 알려진 CVE(공통 취약점 및 노출)에 대해 컨테이너를 자동으로 스캔하고, 구식 또는 취약한 구성 요소를 표시하는 도구를 사용하십시오.
컨테이너 런타임 보안 모범 사례
컨테이너 런타임 보안은 컨테이너화된 애플리케이션의 무결성과 기밀성을 유지하는 데 필수적입니다. 다음 모범 사례를 적용하여 보안을 강화할 수 있습니다:
#1 최소한의 기본 이미지 사용하기
이미지가 작을수록 공격 표면이 줄어듭니다. 위협 행위자들은 일반적으로 이러한 작은 이미지를 신경 쓰지 않습니다. 또한 작은 크기는 필수 구성 요소만 포함함을 의미하므로 관리가 용이해지고, 공격자의 잠재적 진입점도 줄어듭니다.
#2 정기적인 업데이트 및 패치 적용
다른 소프트웨어와 마찬가지로 컨테이너 역시 취약점을 해결하기 위해 최신 패치로 정기적으로 업데이트해야 합니다. 하트블리드 공격은 Docker 이미지에 구버전 OpenSSL이 포함되어 발생했습니다. CI/CD 파이프라인에 정기적인 취약점 스캔을 통합하여 문제를 신속히 식별하고 해결하세요.
#3 최소 권한 원칙 적용
공격자는 항상 사용 가능한 권한을 통해 진입점을 찾습니다. 컨테이너를 루트 권한으로 실행하는 대신 낮은 수준의 권한으로 설정하면 보안 위험을 쉽게 방지할 수 있습니다.
#4 보안 모듈 활용
보안 계층을 추가하려면 Seccomp 및 AppArmor와 같은 보안 모듈을 선택하세요. 이 모듈들은 컨테이너가 수행할 수 있는 시스템 호출을 제한합니다. 기본적으로 커널 상호작용을 차단하고 무단 시스템 호출을 막아 컨테이너 탈출을 방지합니다. 또한 더 엄격한 보안 정책을 적용하여 컨테이너가 정의된 매개변수 내에서만 작동하고 무단 작업을 수행하지 못하도록 보장합니다.
#5 SELinux 활성화
보안 강화형 리눅스(SELinuxSELinux)는 컨테이너 프로세스에 대해 강제 접근 제어(MAC)를 시행하는 신뢰할 수 있는 보안 메커니즘입니다. SELinux를 사용하면 침해된 컨테이너가 호스트의 민감한 리소스(구성 파일, 시스템 라이브러리)에 접근하는 것을 제어하고 제한할 수 있습니다.
#6 컨테이너 격리
네트워크 정책, 방화벽 및 기타 격리 기술을 사용하여 컨테이너를 서로 분리하십시오. 이러한 격리는 환경 내 횡방향 이동 가능성을 제한하고 컨테이너 간 침해 확산 위험을 줄입니다.
#7 활동 모니터링 및 로깅
프로세스 실행, 네트워크 통신, 시스템 호출 등 컨테이너 런타임 활동에 대한 가시성을 제공하는 도구를 구현하십시오. 이 데이터를 로깅하고 분석함으로써 의심스러운 행동을 식별하고 위협이 확대되기 전에 대응할 수 있습니다.
#8 신뢰할 수 있는 레지스트리 사용
신뢰할 수 있는 출처의 이미지를 사용하면 환경에 악성 코드가 유입될 위험을 줄일 수 있습니다. 또한 배포 전에 이미지가 서명되었는지 확인하고 무결성을 검증하여 변조를 방지해야 합니다.
#9 리소스 사용량 제한
컨테이너에 리소스 제한을 설정하는 것은 서비스 거부(DoS) 공격을 방지하고 공정한 리소스 할당을 보장하는 핵심 전략입니다. CPU, 메모리 및 스토리지 사용량을 제한함으로써 단일 컨테이너가 호스트 시스템을 압도하고 다른 애플리케이션을 방해하는 것을 방지할 수 있습니다.
#10 정기적인 보안 감사 실시
정기적인 보안 감사 및 침투 테스트는 이미지 생성 및 구성 관리부터 컨테이너 보안의 모든 측면을 다루어야 합니다. 이미지 생성 및 구성 관리부터 컨테이너 런타임 보호까지 포함됩니다.
SentinelOne: 포괄적인 컨테이너 런타임 보안
SentinelOne의 Singularity Cloud Workload Security (CWS)는 컨테이너화된 워크로드에 대한 포괄적인 보호 기능을 제공하며, 특히 런타임 단계에서의 실시간 보안에 중점을 둡니다. 이 플랫폼은 다음과 같은 기능을 통해 여러 위협으로부터 컨테이너를 보호합니다:
- AI 기반 실시간 위협 탐지: SentinelOne의 CWS는 랜섬웨어 및 제로데이 공격과 같은 고급 위협으로부터 컨테이너화된 환경을 보호하는 실시간 클라우드 워크로드 보호 플랫폼(CWPP) 기능을 제공합니다.
- 자율 대응 및 복구: SentinelOne의 신속한 대응 기능은 위협이 탐지되면 자동으로 무력화되어 다운타임을 최소화하고 지속적인 가용성을 보장합니다. 자동화된 Storyline™ 공격 시각화는 MITRE ATT&CK TTP에 매핑되며 대규모 포렌식 증거 수집도 간소화합니다.
- 포괄적인 가시성 및 포렌식: 싱귤러리티 데이터 레이크와의 통합을 통해 SentinelOne은 상세한 포렌식 기록과 워크로드 텔레메트리 데이터를 제공하여 보안 팀이 사건을 철저히 조사할 수 있도록 합니다. 워크로드 비행 데이터 레코더™는 포괄적인 가시성을 위해 모든 관련 데이터를 캡처하고 기록합니다.
- 광범위한 플랫폼 지원 및 확장성: SentinelOne은 14가지 주요 Linux 배포판, 여러 컨테이너 런타임(Docker, 컨테이너, cri-o) 및 Amazon Web Services(AWS), Microsoft Azure, Google Cloud와 같은 주요 클라우드 공급자의 관리형 및 자체 관리형 Kubernetes 서비스를 지원합니다. 또한 Snyk과 통합되며 에이전트 없는 CNAPP와 독보적인 공격적 엔진을 결합합니다.
- 안정성과 성능을 위한 eBPF 아키텍처: 확장 버클리 패킷 필터(eBPF) 아키텍처 사용으로 플랫폼의 안정성과 성능이 향상됩니다. 이 설계는 커널 의존성을 피하여 낮은 CPU 및 메모리 오버헤드를 실현합니다.
- DevSecOps 도구와의 통합: SentinelOne은 개발 라이프사이클 전반에 걸쳐 원활한 경험과 지속적인 보안 모니터링을 위해 DevSecOps 도구와 통합됩니다.
FAQs
런타임 컨테이너 보안은 컨테이너가 실행 중인 동안 보호하는 것을 의미합니다. 이는 컨테이너 실행 단계에서 무단 접근, 악성코드, 취약점과 같은 위협을 탐지하고 완화하는 데 중점을 둡니다.
컨테이너 런타임 보안은 일반적으로 조직 내 DevOps 및 보안 팀의 책임입니다. 이들은 실행 중인 컨테이너를 보호하기 위한 보안 정책, 모니터링 및 대응 조치가 마련되도록 합니다.
컨테이너 보안을 위해 사용할 수 있는 최고의 도구 중 하나는 SentinelOne입니다. 실시간 위협 탐지, 정책 시행, 자동화된 사고 대응과 같은 기능을 제공하여 포괄적인 보안을 보장합니다.
컨테이너 런타임은 컨테이너 생성, 시작, 중지, 삭제에 이르는 컨테이너의 라이프사이클을 관리하는 소프트웨어를 의미합니다.
정기적인 취약점 스캔, 최소 권한 원칙 적용, 런타임 활동 모니터링 등 컨테이너 보안을 관리하는 데 도움이 되는 여러 방법이 있습니다. 지속적인 보호를 위해 다른 보안 도구도 반드시 사용해야 합니다.
