컨테이너 보안이란 무엇인가요?

컨테이너 보안은 보호 조치를 강화하고 보안 위험을 최소화하는 것을 목표로 합니다.

우선 "컨테이너 보안"은 여러 의미일 수 있으므로 여기에서 논하는 의미를 명확히 하겠습니다. 컨테이너는 애플리케이션 코드를 모든 필수 라이브러리 및 종속성과 함께 묶는 독립적 소프트웨어 단위입니다. 이를 통해 데스크톱, 기존 IT 및 클라우드 인프라 등 모든 컴퓨팅 환경에서 코드를 실행할 수 있습니다. 여기서 설명하는 보안 문제는 데이터를 보관하고 보호하는 컨테이너에 초점을 맞춥니다.

이제 데이터는 상거래와 커뮤니케이션의 생명선입니다. 오늘날의 세계는 데이터가 없으면 멈춰 서게 될 것이므로, 어떤 대가를 치르더라도 정보를 보호해야 합니다. 속임수와 범죄는 여전히 인간과 영원히 떼어놓을 수 없는 것들입니다. 오늘날의 사이버 범죄자는 이제 보안 취약점을 악용할 수 있는 도구와 노하우를 갖추었다는 차이점만 있을 뿐, 과거의 도둑과 동기는 똑같습니다.

데이터를 완벽하게 보호하려면 컨테이너를 이해해야 합니다. 또한 컨테이너가 보유하고 있는 앱, 즉 회사 또는 개인의 데이터에 관한 다양한 작업을 수행하는 앱의 중요성을 이해해야 합니다.

현존하는 앱은 몇 개일까요? 파악하기 어려운 수치이지만, 2025년 4월 기준 Google Play와 Apple App Store에서 제공하는 앱은 각각 약 200만 개에 달했습니다. 이러한 앱을 조직이 사용하든 개인이 사용하든, 보안 취약성은 앱 사용자에서 앱으로의 데이터 전송에 따라 거의 확실하게 발생합니다.

이러한 전송은 게임 앱에서 플레이하기 위해 개인 금융 데이터를 제공하는 개인부터 회계 앱에 민감한 데이터 및 독점 정보를 제공하는 회사에 이르기까지 다양합니다. 이러한 정보가 멀웨어 또는 여타 유형의 사이버 위협을 통해 도난당하거나 노출될 경우 언론 보도로 인한 평판 훼손, 경쟁 우위 상실 및 보안 침해가 초래될 수 있습니다. 더 나아가 수백만 또는 수십억 달러 상당의 고객 데이터를 도난당할 수도 있습니다.

이렇듯 모든 수준에서 앱에 또는 앱을 통해 엄청난 양의 개인정보가 공유되고 있습니다. 위험 요소가 상당하므로, 사이버 보안에서는 강력한 컨테이너 보안 태세를 유지하는 것이 매우 중요합니다.

소프트웨어 개발의 맥락에서 컨테이너 기술은 애플리케이션을 실행하는 데 필요한 모든 요소를 갖추고 있습니다. 컨테이너는 바로 사용할 수 있고 다양한 유형의 환경에서 일관되게 실행할 수 있는 독립적인 엔티티로 이 모든 요소를 패키지화합니다. 다음과 같이 앱을 실행하는 데 필요한 모든 파일이 포함되어 있습니다.

• 애플리케이션 코드: 애플리케이션 코드에는 소스 코드 및 컴파일된 바이너리 코드와 같은 애플리케이션의 모든 실행 파일이 포함됩니다.

• 런타임 환경: 컨테이너 런타임 환경에는 애플리케이션 코드를 실행하는 데 필요한 프레임워크, 라이브러리 및 도구가 포함되어 있습니다.

• 시스템 라이브러리: 시스템 라이브러리는 그래픽 라이브러리, 네트워킹 라이브러리, 파일 입출력 전송 노드와 같은 공통 기능을 제공하는 공유 리소스입니다.

• 시스템 도구: 각 앱은 기능을 제대로 실행하는 데 도움이 되는 특정 유틸리티와 도구를 필요로 합니다.

• 구성 파일: 구성 파일은 앱이 동작하는 방식과 앱에 적용할 설정을 정합니다.

• 종속성: 종속성은 예상대로 작동하기 위해 앱이 액세스할 수 있어야 하는 요소로, 외부에 위치한 프레임워크, 구성 요소 및 라이브러리입니다.

• 환경 변수: 개발, 테스트 및 프로덕션 환경은 컨테이너가 나타내는 런타임 활동에 따라 변경될 수 있습니다. 컨테이너화된 환경 내의 변수는 이러한 설정을 제어하는 데 도움이 됩니다.

• 운영 체제 커널: 컨테이너는 전체 OS(운영 체제)가 필요하지 않으며, 대신 OS 커널의 기능을 가상화하는 일종의 운영 체제 가상화를 사용합니다.

• 보안 설정: 사용자는 이 설정을 통해 액세스 제어, 기능 및 리소스 제한과 같은 변수를 규제하기 위해 마련된 보안 조치를 맞춤 설정할 수 있습니다.

컨테이너 이미지는 실행 코드를 포함하고 IT 인프라에서 격리되어 작동하는 변경되지 않는 정적 파일입니다. 컨테이너 이미지는 운영체제에서 컨테이너를 생성하는 데 필요한 모든 구성 요소를 포함하며, 여러 이미지 레이어가 겹쳐져 구성되어 있고 템플릿처럼 기능합니다.

컨테이너 이미지는 클라우드 네이티브 환경에서 애플리케이션을 제공하기 위한 기본 형식이며, 컨테이너 보안이 시작되는 곳입니다. 기본 이미지는 모든 파생 이미지의 기초이므로 보안에 매우 중요합니다. 컨테이너 보안은 신뢰할 수 있는 소스를 사용하는 것으로 시작하여 이미지가 신뢰할 수 있는 조직에서 제공되고, 믿을 수 있는 레지스트리에서 호스팅되며, 모든 구성 요소에 대해 액세스 가능한 소스 코드를 포함하도록 보장합니다.

신뢰할 수 있는 기반 이미지로 시작하더라도 반드시 라이프사이클 전반에 걸쳐 선제적으로 취약성을 관리해야 합니다. 레지스트리에 통합되거나 별도의 도구로 제공되는 이미지 스캐너를 사용하여 모든 컨테이너 이미지를 정기적으로 스캔해야 합니다. 또한 정책 또는 모범 사례를 위반하는 컨테이너 이미지(일반적으로 컨테이너 구성 오류라고 함)를 식별하세요.

소프트웨어 개발 라이프사이클(SDLC)은 소프트웨어의 수명의 "시즌"과 그 작동 존재를 관리합니다. 여기에 설명된 7단계는 모두 필수적이며, 순차적으로 수행해야 합니다.

수많은 핵심 기술이 이러한 개발 단계와 밀접하게 관련되어 있으며, 이러한 솔루션(및 솔루션이 제공하는 보안 조치)도 SDLC에서 발생해야 하는 시점에 논의됩니다.

초기 단계는 프로젝트의 모든 측면을 정의하는 것입니다. 즉, 먼저 프로젝트의 범위, 예상 목표 및 작업에 사용할 수 있는 리소스를 간략하게 설명해야 합니다. 그러나 일반적으로 여기에는 비용 편익 분석, 타당성 조사 및 스케줄링과 같은 다른 활동도 포함됩니다.

다음 두 가지 관련 기술은 SDLC의 모든 부분에서 구현될 수 있으므로 계획 단계에서 논의하는 것이 좋습니다.

• CI/CD 파이프라인: 지속적 통합/지속적 배포(CI/CD) 파이프라인은 컨테이너화된 앱이 자동화된 보안 검사를 사용하여 속도와 간소화를 얻는 DevOps 워크플로입니다. 자동화된 지속적 보안 모니터링을 통해 해결을 위한 플래그를 문제에 지정하여 더 많은 파급 효과가 발생하기 전에 수리를 진행할 수 있습니다. 보다 이른 DevOps 프로세스 단계에서 보안 조치를 통합하는 접근 방식인 시프트 레프트(shift-left)를 구현하면 파이프라인을 더욱 강화할 수 있습니다. CI/CD 파이프라인과 함께 컨테이너를 사용하면 DevSecOps 팀에서 사용하는 워크플로에 보안 관행을 통합하는 데 도움이 됩니다.

• 공급망: 공급망은 컨테이너 보안 요소와 철저히 얽혀 있는 관련 기술의 또 다른 예입니다. 공급망 컨테이너 보안을 강화하기 위해 노력하는 보안 팀은 컨테이너 이미지 및 관련 구성 요소를 정기적으로 스캔합니다. 이렇게 하면 새로운 사이버 위협과 알려진 취약점을 처리하는 데 도움이 됩니다.

다음 단계는 이해 관계자와 사용자의 요구 사항이라는 렌즈를 통해 본 프로젝트의 요구 사항을 더 자세히 분석하는 것입니다. 프로젝트에 적용되는 다양한 요구 사항을 모두 수집, 분석 및 관리해야 합니다.

이 단계에서는 보통 설계자가 스포트라이트를 받는데, 이는 이제 요구 사항에 대해 수집된 모든 정보를 취합하여 실행 가능한 소프트웨어 설계를 도출해야 하기 때문입니다. 이 청사진은 필요한 아키텍처, 필요한 데이터 구조 및 채택해야 하는 사용자 인터페이스를 설명합니다.

다음 4가지 관련 기술은 사용하려면 설계 단계에서부터 고려해야 합니다.

• 클라우드: 컨테이너의 광범위한 채택은 클라우드 컴퓨팅의 광범위한 수용과 동시에 이루어졌습니다. 현재 컨테이너는 클라우드 내에서 클라우드 네이티브 애플리케이션을 만드는 데 대량으로 사용되고 있습니다. 클라우드 기반 정보 자산 보호에 대한 책임은 IBM® Cloud, Google Gloud, Microsotf Azure, Amazon Web Services(AWS)와 같은 클라우드 서비스 제공업체에게 있습니다. 클라우드 보안을 구축하려면 데이터 보호, 인프라 보안 및 ID 관리를 촉진하는 보안 조치를 제정해야 합니다. 클라우드로 이동한 워크로드에도 동일한 기본 보안 문제가 발생합니다. 이미지 리포지토리는 클라우드 환경에 저장되어 있더라도 실행 가능성을 보장하기 위해 여전히 정기적인 스캐닝이 필요합니다. 클라우드 구현은 아키텍처와 리소스 계획에 큰 영향을 미치므로 SDLC의 설계 단계에서 시작하는 것이 이상적이며, 두 가지 모두 개발 시작 전에 해결해야 합니다.

• Linux: Linux는 컨테이너 보안의 핵심 요소입니다. 오픈 소스 플랫폼은 컨테이너 보안에 사용되는 기본적인 구성 요소와 방화벽과 같은 필수 보안 기능을 제공합니다. Linux 네임스페이스는 환경 내에서 실행 중인 컨테이너를 효과적으로 격리하고 리소스 액세스를 최소화하는 동시에 일관된 작업을 유지하는 장소입니다. Linux 컨테이너는 다양한 방법을 사용하여 컨테이너화된 작업 부하를 제한하고 격리함으로써 Linux 커널의 능력을 최대한 활용합니다. Linux는 주요 프로그램 세부 사항이 확정되고 실제 코딩이 시작되는 곳이며, 이는 설계 단계 또는 이후 구현 중에 수행될 수 있습니다.

• 마이크로서비스: Linux와 마찬가지로 마이크로서비스는 컨테이너를 사용하여 각 마이크로서비스를 격리하고 호스트 OS 및 기타 서비스와 별도로 자체 '샌드박스' 환경을 제공합니다. 이를 통해 공격 표면이 감소하고 방어 기능이 향상되며, 마이크로서비스 컨테이너의 확장성이 더욱 향상됩니다. 다른 컨테이너 보안 모범 사례와 마찬가지로 마이크로서비스는 컨테이너가 의도한 대로 기능을 실행할 수 있지만 리소스에 액세스하거나 다른 컨테이너에 영향을 주지 않도록 최소한의 권한을 부여하는 최소 권한 원칙을 사용합니다. 설계 단계에서는 모놀리식 앱을 독립적으로 배포할 수 있는 작은 서비스로 세분화하는 마이크로서비스를 사용하는 것이 가장 좋습니다. 그러나 일부 상황에서는 배포 단계에서도 마이크로서비스를 사용할 수 있습니다.

• 가상 머신: 가상 머신(VM)은 추가적인 격리 계층을 제공하므로 컨테이너 보안을 강화할 수 있습니다. VM에는 자체 독립 OS가 있어 리소스를 위해 호스트 시스템에 연결할 필요가 없기 때문에 다른 컨테이너와의 상호 작용을 통해 컨테이너가 오염될 위험을 줄입니다. VM은 컨테이너만으로 달성할 수 있는 것보다 더 강력한 보안 경계를 나타내므로, 보안 위반이 파일 시스템 전체로 확산되어 처리 중인 워크플로에 부정적인 영향을 미칠 가능성을 줄이는 데 도움이 됩니다. 가상 머신은 시스템 아키텍처와 구조가 이론화되고 계획되는 설계 단계에서 사용되어야 합니다.  

모든 "준비" 작업이 완료되면 드디어 소프트웨어 설계자가 제공한 설계 사양을 사용하여 소프트웨어를 구축할 수 있습니다. 개발자는 코드를 작성하고, 애플리케이션 프로그래밍 인터페이스(API)를 만들고, 필요에 따라 구성 요소가 통합되었는지 확인합니다.

Linux는 일반적으로 설계 단계에서 사용되지만, 소프트웨어 아키텍처와 플랫폼이 선택되고 소프트웨어 코딩 프로세스가 시작되는 개발 단계에서도 사용됩니다.

적절한 테스트 시스템을 만들면 생성된 코드가 예상대로 작동하고 버그가 없는 상태로 유지됩니다. 특히 새로운 취약점이 발견될 때 보안 문제가 있는 빌드에 플래그를 지정하는 정책을 자동화하는 것이 중요합니다. 컨테이너에 패치를 적용하는 것은 컨테이너를 다시 빌드하는 것만큼 효과적이지 않으므로, 보안 테스트에는 자동화된 다시 빌드를 트리거하는 정책이 포함되어야 합니다. 테스트 단계에는 통합 테스트, 단위 테스트 및 시스템 테스트가 포함될 수 있습니다.

이전 단계를 모두 완료했다면 소프트웨어를 게시하고 사용자에게 릴리스할 차례입니다. 배포에는 대량 배포를 위해 소프트웨어 제품을 준비하는 데 필요한 모든 관련 작업(예: 소프트웨어 패키징 및 구성)이 포함됩니다.

Kubernetes는 컨테이너화된 앱을 보호하기 위한 자동화된 오픈 소스 플랫폼을 제공함으로써 컨테이너 오케스트레이션 노력과 컨테이너 보안을 지원합니다. Kubernetes 환경은 역할 기반 액세스 제어(RBAC)과 같은 보안 기능, 즉 파드 간 통신을 관리하는 네트워크 정책을 제공합니다(Kubernetes는 컨테이너를 가리킴). 또한 비밀번호, API 키, 암호화 키 및 토큰과 같은 민감한 데이터의 안전한 스토리지 저장을 우선시하는 비밀 관리 기능도 제공합니다.

Kubernetes 보안 프로세스는 Kubernetes 클러스터 전반에 걸쳐 정기적인 모니터링을 적용하여 가능한 잘못된 구성(보안 위험을 초래하고 취약성을 노출시킬 수 있는 모든 설정)을 찾습니다. 기술적으로 Kubernetes는 소프트웨어 여정의 어느 부분에서나 사용할 수 있지만, Kubernetes의 주요 용도는 컨테이너화된 앱의 배포 및 확장 처리입니다.

앞서 언급했듯이 마이크로서비스는 배포 단계에서도 사용할 수 있습니다.

SDLC 프로세스의 마지막 단계는 지속적인 소프트웨어 지원을 제공하는 것입니다. 이 단계는 프로그램 향상, 버그 수정 및 기타 유형의 성능 개선을 포함할 수 있습니다.

조직은 보안 정책의 효과를 강화하기 위해 다양한 일상적인 단계를 수행할 수 있습니다. 이러한 단계는 대부분 상식적인 접근 방식을 반영하며 검증된 취약성 관리 원칙을 따릅니다.