컨테이너 런타임 보안이란?

대부분의 보안 팀이 공통적으로 겪는 지속적인 과제는 런타임 중 컨테이너화된 애플리케이션을 보호하는 것입니다. 이 단계에서 컨테이너는 권한 상승 및 제로데이 익스플로잇과 같은 공격에 가장 취약합니다. 실제로 최근 연구에 따르면 컨테이너를 사용하는 조직의 85%가 2023년에 사이버 보안 사고를 경험했으며, 이 중 32%가 런타임 중에 발생했습니다.

그렇다면 단 한 번의 실수가 발생하면 어떻게 될까요? 심각한 침해, 운영 중단, 다운타임을 겪게 됩니다. 이는 조직에 결코 바람직하지 않은 결과입니다. 이 글에서는 컨테이너 런타임 보안을 개선하기 위한 실질적인 인사이트, 위협, 검증된 전략을 제공합니다.

컨테이너 런타임 보안이란?

컨테이너 런타임 보안은 프로덕션 환경에서 컨테이너가 실제로 실행되는 동안 이를 보호하는 활동입니다. 실행 중에 발생할 수 있는 취약점을 식별하고 완화하기 위해 실시간 모니터링과 위협 탐지를 포함합니다. 컨테이너의 동작을 지속적으로 모니터링하고 적절한 보안 정책을 적용함으로써 악의적 활동, 비인가 접근, 시스템 오구성 등을 방지합니다.

컨테이너 런타임 보안의 중요성

컨테이너는 실행 중일 때 가장 취약합니다. 정적 분석이나 배포 전 점검과 달리, 런타임 보안은 컨테이너가 실행되는 동안 약점을 악용할 수 있는 실시간 위협에 대응합니다. 컨테이너 런타임 보호는 애플리케이션의 무결성을 보장하고, 컴플라이언스를 지원 및 유지하며, 민감한 데이터를 보호합니다.

컨테이너 런타임 보안 미흡 시 숨겨진 비용

컨테이너 런타임 보안은 선택이 아닌 필수입니다. 그 중요성을 간과하면 막대한 비용이 발생할 수 있습니다. 주요 예시는 다음과 같습니다:

• 데이터 유출: 대부분의 컨테이너에는 민감하고 기밀성이 높은 정보가 포함되어 있습니다. 이 데이터의 무결성을 유지하지 못하면 신뢰 상실로 이어지고, 평판에 심각한 타격을 입을 수 있습니다. 데이터와 신뢰를 모두 잃고, 고비용의 소송에 직면할 수 있습니다.
• 운영 중단: 조직의 성공은 원활한 운영에 달려 있습니다. 보안 침해는 계획에 차질을 주며, 전체 운영이 원치 않는 고비용의 중단을 겪게 만듭니다. 단 한 번의 보안 사고로 생산성과 수익성이 저하될 수 있습니다.
• 지적 재산권 손실: 컨테이너에는 독점 알고리즘, 영업 비밀, 고유 코드 등 가치 있는 내부 데이터도 포함되어 있습니다. 공격자가 이 데이터에 접근하면 일부 제품 및 서비스를 중단해야 할 수도 있습니다. 최악의 경우 경쟁사가 IP를 확보해 시장 경쟁력과 고객을 잃을 수 있습니다.
• 보험료 인상: 기업은 사이버 보안 보험에 가입합니다. 보안 사고가 발생하면 보험료가 인상될 수 있습니다. 침해의 심각성과 대응 방식에 따라 보장 자체가 거부될 수도 있습니다.
• 높은 복구 비용: 침해 후 컨테이너를 복구하는 데 상당한 비용이 소요되며, 리소스도 대거 투입해야 합니다. 취약점 패치, 구성 업데이트, 시스템 복구 외에도 고객 신뢰 회복을 위해 보안 프로토콜을 재점검하고 개선해야 합니다. 이 모든 과정은 비용이 많이 듭니다.
• 컴플라이언스 문제: 금융 및 의료 서비스는 민감한 고객 정보 유출 및 비준수로 인한 벌금 등 추가 비용이 발생합니다. 또한 규제 기관의 감시도 강화됩니다.

컨테이너 런타임 보안은 어떻게 작동하는가?

컨테이너 런타임 보안은 컨테이너의 전체 실행 과정에서 동작을 지속적으로 감독하고 분석하는 순환 구조로 작동합니다. 주요 구성 요소는 다음과 같습니다:

1. 실시간 위협 탐지: 런타임 보안의 기본이자 핵심 기능은 위협을 실시간으로 탐지하는 것입니다. 고급 보안 도구를 사용해 컨테이너 활동을 면밀히 감시하며, 비인가 시스템 호출, 비정상 네트워크 연결, 권한 상승 시도 등 의심스러운 행동을 탐지합니다. 컨테이너가 권한을 초과해 파일에 접근하거나 외부 IP에 연결을 시도하면 즉시 경고를 발생시켜 보안 팀이 신속히 대응할 수 있도록 합니다.
2. 정책 적용: 컨테이너 런타임 보안은 단순 모니터링을 넘어, 컨테이너가 수행할 수 있는 작업을 규정하는 정책과 규칙을 정의합니다. 사전에 정의된 경계는 컨테이너의 리소스, 네트워크, 데이터베이스 접근을 통제하며, 컨테이너 간 통신도 감독하여 규칙 위반을 차단합니다.
3. 사고 대응: 런타임 보안이 컨테이너 내 위협을 탐지하면 즉시 해당 컨테이너를 격리하고 보안 팀에 경고합니다. 또한 포렌식 분석 및 향후 개선을 위해 사고 정보를 기록합니다. 위협 완화에는 인적 개입이 필요함을 유념해야 합니다.
4. 지속적 모니터링: 런타임 보안은 컨테이너를 지속적으로 모니터링하여 프로세스의 위생을 유지하고, 컨테이너 상태에 대한 실시간 인사이트를 제공합니다.

모든 기업이 알아야 할 5가지 주요 컨테이너 런타임 보안 위협

다음은 모든 기업이 반드시 인지해야 할 5가지 주요 컨테이너 런타임 보안 위협입니다:

#1 구성 드리프트

Tesla의 2018년 Kubernetes 콘솔 침해가 구성 드리프트로 인해 발생했다는 사실을 알고 계셨나요? Kubernetes 콘솔이 비밀번호 없이 노출되어 공격자가 암호화폐를 채굴할 수 있었습니다. 구성 드리프트는 미처 인지하지 못했거나 비인가된 변경으로 인해 기대 상태와 실제 상태가 불일치할 때 발생합니다. 장기적으로는 새로운 위험, 보안 취약, 해커가 노릴 수 있는 취약점으로 이어집니다.

#2 악성 코드 실행

컨테이너는 런타임 중에 가장 취약하며, 공격자는 이 기회를 노려 악성 스크립트나 애플리케이션을 은밀히 주입합니다. Hilton Hotels는 2020년에 이 위협을 직접 경험했습니다. 해커가 docker 컨테이너를 악용해 고객 데이터에 접근했고, 이후 랜섬웨어 공격까지 이어졌습니다.

#3 컨테이너 이미지 내 악성코드

컨테이너 이미지는 컨테이너의 기반이 되는 요소입니다. 그러나 검증되지 않은 소스에서 이미지를 획득하면 악성코드가 포함되어 있을 가능성이 높습니다. 2019년 Docker Hub 악성코드 사건을 알고 계십니까? 수백 개의 악성 이미지가 Docker에 호스팅되어 있었으며, 이후 Docker는 이러한 침해를 방지하기 위해 보안을 강화했습니다.

#4 권한 상승 공격

컨테이너 내 사용자는 정보 접근에 적절한 권한을 부여받습니다. 하지만 공격자나 해커가 이 권한을 획득하면 조직의 리소스를 악용하고, 악성코드를 심거나 비즈니스 운영을 방해할 수 있습니다. 사이버 보안 업계에서는 CVE-2019-5736 runs 취약점을 통해 공격자가 호스트에 루트 권한을 획득하고, 호스트의 바이너리를 덮어쓴 사건을 잊지 못합니다.

#5 커널 익스플로잇

호스트 머신과 컨테이너는 종종 커널을 공유하므로, 커널 익스플로잇에 모두 취약해집니다. 최근 심각한 Linux 커널 취약점이 발견되어, 공격자가 읽기 전용으로 마운트된 컨테이너에서 파일을 덮어쓸 수 있었습니다. 이러한 사고를 예방하려면 커널을 정기적으로 업데이트 및 패치하고, docker 런타임 보안 도구를 구현해야 합니다.

환경 내 런타임 위험 탐지 및 대응 방법

애플리케이션 보안을 유지하는 최선의 방법은 컨테이너화된 환경에서 런타임 위험을 탐지하고 대응하는 것입니다. 이를 위해서는 체계적인 접근이 필요합니다. 다음은 효과적으로 위험을 탐지하고 해결하는 단계별 가이드입니다.

런타임 위험 탐지

• 지속적 실시간 모니터링: 최적의 컨테이너 런타임 보안을 달성하려면 런타임 활동을 실시간으로 모니터링할 수 있는 도구를 도입해야 합니다. 이러한 도구는 이벤트 스트림을 모니터링하고, 리소스 사용 변화 추적, 컨테이너 동작의 이상 징후를 식별할 수 있습니다.

전문가 팁: 권한 상승이나 비인가 시스템 호출을 탐지하면 즉시 알림을 받을 수 있도록 도구를 구성하세요. 이러한 경보는 위협 완화를 신속하게 할 수 있게 해줍니다.

• 행위 분석: 다음 단계는 정상적인 컨테이너 활동의 기준선을 정의하는 것입니다. 시스템이 컨테이너의 일반적인 동작 패턴(리소스 사용, 네트워킹, 활동 등)을 학습하면, 편차를 정확히 식별할 수 있습니다. 행위 분석은 정교한 위협(내부자 공격) 탐지에 특히 유용합니다.

전문가 팁: 표준 시그니처 기반 방식만으로는 고도화되고 미묘한 위협을 항상 식별할 수 없습니다.

• 스냅샷 스캔: 스냅샷 스캔은 컨테이너 런타임의 다양한 단계에서 스냅샷을 찍는 것을 의미합니다. 초기 배포 시 식별되지 않은 오구성이나 구식 소프트웨어 구성요소 등 취약점을 탐지할 수 있습니다.

전문가 팁: 컨테이너에 새로운 라이브러리나 종속성이 자주 추가된다면, 스냅샷 스캔은 런타임 보안 루틴에서 반드시 포함해야 할 단계입니다.

• 시스템 콜 모니터링: 컨테이너 프로세스는 종종 호스트 시스템 커널에 요청(시스템 콜)을 보냅니다. 이러한 ‘시스콜’은 컨테이너가 운영체제와 상호작용하여 파일 접근이나 메모리 관리를 가능하게 합니다. 다음 단계는 이러한 호출을 정기적으로 모니터링하고, 의심스러운 호출을 필터링하는 시스템을 구현하는 것입니다.

전문가 팁: 사용자 또는 그룹 ID를 변경할 수 있는 setuid 또는 setgid 호출에 대한 필터를 반드시 설정하세요.

• 침입 탐지 시스템(IDS): 런타임 위험 탐지의 마지막 단계는 컨테이너 전용 IDS 솔루션을 배포하여 네트워크 트래픽, 파일 무결성, 컨테이너 내 프로세스 활동을 모니터링하고 잠재적 침입을 탐지하는 것입니다.

전문가 팁: IDS를 구성하여 비인가 접근, 데이터 유출 시도, 컨테이너 간 의심스러운 통신을 탐지할 수 있습니다.

런타임 위험 대응

런타임 위험을 탐지했다면, 이제 이러한 위협에 대응하여 운영에 미치는 영향을 최소화해야 합니다. 다음은 대응을 관리할 수 있는 방법입니다:

• 자동화된 사고 대응: 위협을 탐지하면 자동으로 대응하여 피해를 최소화합니다. 이는 손상된 컨테이너를 격리하거나 종료하거나, 이전 버전으로 롤백하는 것을 포함합니다. 컨테이너가 손상된 경우, 시스템이 자동으로 백업 이미지로 복원하거나 보안 버전으로 업데이트를 트리거할 수 있습니다.
• 구성 관리: 관리되지 않은 구성은 드리프트로 이어질 수 있습니다. 정기적으로 구성을 검토 및 업데이트하여 컨테이너가 과도한 권한, 불필요한 네트워크 접근, 잘못 구성된 스토리지 볼륨으로 실행되지 않도록 해야 합니다.
• 접근 제어: 역할 기반 접근 제어(RBAC)를 사용해 엄격한 접근 제어를 구현하세요. 사용자와 프로세스에 대해 명확한 역할과 권한을 정의하여, 컨테이너 환경 내에서 수행할 수 있는 작업을 제한합니다. 중요한 구성요소에 대한 접근을 제한하면, 컨테이너가 손상되더라도 공격자가 민감한 리소스를 장악할 위험을 줄일 수 있습니다.
• 보안 솔루션과의 통합: 런타임 보안 도구가 기술 스택 내 다른 보안 솔루션과 원활하게 통합되도록 하세요. 컨테이너 보안 도구를 SIEM(Security Information and Event Management) 시스템이나 클라우드 보안 플랫폼과 연동하여 경보를 상관 분석하고, 광범위한 공격 패턴을 식별하며, 인프라의 엔드 투 엔드 가시성을 확보할 수 있습니다.
• 지속적 취약점 스캔: 런타임 중 알려진 취약점 및 악성코드에 대해 컨테이너 런타임 스캔을 정기적으로 수행하세요. 컨테이너를 자동으로 스캔하여 알려진 CVE(공개 취약점 및 노출)를 탐지하고, 구식 또는 취약한 구성요소를 표시하는 도구를 사용하세요.

컨테이너 런타임 보안 모범 사례

컨테이너 런타임 보안은 컨테이너화된 애플리케이션의 무결성과 기밀성을 유지하는 데 필수적입니다. 다음 모범 사례를 적용하여 보안을 강화할 수 있습니다:

#1 최소 베이스 이미지 사용

이미지가 작을수록 공격 표면이 줄어듭니다. 위협 행위자는 일반적으로 이러한 이미지를 기피합니다. 필수 구성요소만 포함되어 관리가 용이하고, 공격자가 침투할 수 있는 진입점도 줄어듭니다.

#2 정기적 업데이트 및 패치

다른 소프트웨어와 마찬가지로 컨테이너도 취약점 해결을 위해 최신 패치로 정기적으로 업데이트해야 합니다. Heartbleed 공격은 Docker 이미지에 구식 OpenSSL이 포함되어 발생했습니다. CI/CD 파이프라인에 정기적인 취약점 스캔을 통합하여 신속히 문제를 식별하고 해결하세요.

#3 최소 권한 원칙 적용

공격자는 항상 권한을 통한 진입점을 노립니다. 컨테이너가 루트 권한이 아닌 낮은 수준의 권한으로 실행되도록 설정하면 보안 위험을 쉽게 예방할 수 있습니다.

#4 보안 모듈 활용

추가 보안 계층으로 Seccomp, AppArmor와 같은 보안 모듈을 선택해 컨테이너가 허용할 수 있는 시스템 콜을 제한하세요. 이러한 모듈은 커널 상호작용을 차단하고, 비인가 시스템 콜을 막아 컨테이너 탈출을 방지합니다. 또한 더 엄격한 보안 정책을 적용해 컨테이너가 정의된 범위 내에서만 동작하도록 보장합니다.

#5 SELinux 활성화

Security-enhanced Linux(SELinux)는 컨테이너 프로세스에 강제 접근 제어(MAC)를 적용하는 신뢰할 수 있는 보안 메커니즘입니다. SELinux를 통해 손상된 컨테이너가 호스트의 민감한 리소스(구성 파일, 시스템 라이브러리 등)에 접근하지 못하도록 제어 및 제한할 수 있습니다.

#6 컨테이너 격리

네트워크 정책, 방화벽, 기타 격리 기법을 사용해 컨테이너 간 분리를 구현하세요. 이러한 격리는 환경 내 수평 이동 가능성을 제한하고, 컨테이너 간 침해 확산 위험을 줄입니다.

#7 활동 모니터링 및 로깅

프로세스 실행, 네트워크 통신, 시스템 콜 등 컨테이너 런타임 활동에 대한 가시성을 제공하는 도구를 구현하세요. 이 데이터를 로깅 및 분석하면 의심스러운 행동을 식별하고, 위협이 확산되기 전에 대응할 수 있습니다.

#8 신뢰할 수 있는 레지스트리 사용

신뢰할 수 있는 소스의 이미지를 사용하면 악성코드가 환경에 유입될 위험이 줄어듭니다. 또한 배포 전 이미지에 서명하고 무결성을 검증해 변조를 방지하세요.

#9 리소스 사용 제한

컨테이너에 리소스 제한을 설정하는 것은 서비스 거부(DoS) 공격을 방지하고, 공정한 리소스 할당을 보장하는 핵심 전략입니다. CPU, 메모리, 스토리지 사용량을 제한하면 단일 컨테이너가 호스트 시스템을 과도하게 점유해 다른 애플리케이션을 방해하는 것을 막을 수 있습니다.

#10 정기적 보안 감사 수행

정기적인 보안 감사 및 침투 테스트는 컨테이너 보안의 모든 측면(이미지 생성, 구성 관리, 컨테이너 런타임 보호 등)을 포괄해야 합니다.

SentinelOne: 종합적인 컨테이너 런타임 보안

SentinelOne의 Singularity Cloud Workload Security(CWS)는 런타임 단계에서 실시간 보안에 중점을 두고 컨테이너화된 워크로드에 대한 종합적인 보호를 제공합니다. 이 플랫폼은 다음과 같은 기능을 통해 다양한 위협으로부터 컨테이너를 보호합니다:

1. AI 기반 실시간 위협 탐지: SentinelOne의 CWS는 컨테이너 환경을 랜섬웨어, 제로데이 익스플로잇 등 고도화된 위협으로부터 보호하는 실시간 클라우드 워크로드 보호 플랫폼(CWPP) 기능을 제공합니다.
2. 자동화된 대응 및 복구: SentinelOne의 신속한 대응 기능은 위협이 탐지되면 자동으로 중화하여 다운타임을 최소화하고 연속적인 가용성을 보장합니다. 자동화된 Storyline™ 공격 시각화는 MITRE ATT&CK TTP에 매핑되며, 대규모 포렌식 아티팩트 수집도 간소화합니다.
3. 종합적인 가시성 및 포렌식: Singularity 데이터 레이크와의 통합을 통해 SentinelOne은 보안 팀이 사고를 철저히 조사할 수 있도록 상세한 포렌식 이력과 워크로드 텔레메트리를 제공합니다. Workload Flight Data Recorder™는 모든 관련 데이터를 캡처 및 기록하여 종합적인 가시성을 제공합니다.
4. 광범위한 플랫폼 지원 및 확장성: SentinelOne은 14개 주요 Linux 배포판, 다양한 컨테이너 런타임(Docker, containers, cri-o), AWS, Microsoft Azure, Google Cloud 등 주요 클라우드 제공업체의 관리형 및 자체 관리형 Kubernetes 서비스를 지원합니다. 또한 Snyk과 통합되며, 에이전트리스 CNAPP와 고유한 공격 엔진을 결합합니다.
5. 안정성과 성능을 위한 eBPF 아키텍처: 확장된 Berkeley 패킷 필터(eBPF) 아키텍처를 사용하여 플랫폼의 안정성과 성능을 강화합니다. 이 설계는 커널 종속성을 피하고, 낮은 CPU 및 메모리 오버헤드를 제공합니다.
6. DevSecOps 도구와의 통합: SentinelOne은 DevSecOps 도구와 통합되어 개발 라이프사이클 전반에 걸쳐 원활한 경험과 지속적인 보안 모니터링을 제공합니다.

둘러보기

서버, VM, 컨테이너를 위한 AI 기반 클라우드 워크로드 보호(CWPP)로, 런타임 위협을 실시간으로 탐지하고 차단합니다.