레드햇, 2023 쿠버네티스 보안 현황 보고서 발표
38% “보안 투자 충분치 않아”, 67% “보안 이슈로 쿠버네티스 구축 지연 경험 有”
‘컨테이너’, ‘컨테이너 런타임’, ‘도커’, ‘오케스트레이션’.
최근 클라우드 환경이 하드웨어 중심 구조에서 벗어나는 것이 트렌드로 변모함에 따라, 중요성이 대두되는 ‘쿠버네티스’와 관련한 개념들이다.
쿠버네티스는 ‘컨테이너’ 과정을 거친 애플리케이션을 ‘오케스트레이션’하는 도구다. 여기서 컨테이너는 애플리케이션 및 환경을 패키징하고 통합해 안전하게 실행하도록 하는 기술이다. 오케스트레이션은 여러 서버에 걸친 애플리케이션 컨테이너 및 사용 환경 설정을 배포·관리·확장·구성·조정 등을 통해 자동화 관리하는 프로세스다.
다시 말해, 쿠버네티스는 컨테이너화된 애플리케이션을 관리할 때 수반되는 프로세스를 자동화하는 플랫폼이다. 해당 플랫폼은 최근 성장을 위한 필수 과정으로 여겨지는 디지털 전환(DX)의 이니셔티브로 자리 잡았다. 이에 쿠버네티스를 채택하는 기업이 늘어나면서 컨테이너화된 애플리케이션에 대한 보안 위협과 그 방안이 산업의 새로운 과제로 급부상하고 있다.
레드햇은 전 세계 600명의 데브옵스(DevOps), 엔지니어링, 보안 전문가 등의 의견을 담은 ‘2023 쿠버네티스 보안 현황’ 보고서를 발표했다. 해당 보고서는 기업 및 조직의 일반적인 보안 이슈와 그것이 비즈니스에 미치는 영향에 대해 다뤘다. 더불어, 조직이 보안 위험을 경감한 모범 사례와 방안 등도 함께 포함됐다.
급증하는 쿠버네티스 도입 추세에 걸맞지 않는 보안 영역 투자 수준
클라우드 네이티브는 클라우드 이점을 최대한 활용하는 애플리케이션을 구축 및 실행하는 과정을 뜻한다. 전문가들은 각 기업 및 조직이 클라우드 네이티브 환경 구축 시 피드백 및 가드레일을 제공하는 보안 도구를 활용할 것을 조언한다.
지난 몇 년간 쿠버네티스 도입에 있어 최우선 과제는 ‘보안’이라는 것이 여러 사례를 통해 확인됐다. 앞선 전문가들의 의견을 도출하게 한 배경이다. 그러나 보안에 소홀한 기업 및 조직이 아직도 적지 않은 것으로 나타났다.
보고서에는 기업 및 조직이 보안을 고려하지 않거나, 보안 투자에 소홀하다는 응답이 38%로 집계됐다. 이는 지난해 대비 7% 증가한 수치다. 이는 쿠버네티스 도입과 보안 투자 수준은 반비례한다는 뜻으로 풀이 가능하다.
레드햇은 보안이 통합된 솔루션이 존재한다면, 기업 및 조직은 매번 새로운 솔루션에 대한 투자를 할 필요가 없다고 말했다. 보안 측면에서 기본으로 제공되는 클라우드 네이티브 툴에 투자할 것을 강조한 것이다.
보안 이슈, 비즈니스 운영에 ‘치명타’
시장 출시 기간 단축·적응성·안정성을 모두 결합한 ‘민첩성’ 특성이 기업 및 조직이 클라우드 네이티브를 적용하는 데 핵심 명분을 제시한다. 보고서에서는 보안 이슈가 해당 기술의 특성을 저해하는 것으로 드러났다. 응답자 67%는 보안 이슈로 애플리케이션 배포를 지연한 경험을 꼬집었다. 준비된 보안은 성공적인 기술 도입을 보증하지만, 보안에 소홀했을 때는 기술 도입에 가장 큰 걸림돌이 된다는 것으로 해석 가능하다.
보안은 기술 도입뿐만 아니라 비즈니스 운영 측면에서도 영향을 미치는 것으로 나타났다. 응답자 21%는 보안 이슈로 직원을 해고한 경험이 있다고 답했고, 25%는 기업 및 조직에 벌금이 부과된 것으로 확인됐다. 또 35%는 쿠버네티스 보안 인시던트로 매출 및 고객 손실이 발생한 경험을 드러냈다. 이는 인력·재정·평판 등 운영상 부담을 안게 되는 요소로 작용할 수도 있다는 뜻이다.
레드햇은 이에 보안을 우선순위로 두면, 비즈니스 자산을 보호할 수 있다고 분석했다. 덧붙여 규제 요구 사항에 효과적 대응이 가능하고, 비즈니스 연속성 보장·고객 신뢰 유지·개발 라이프사이클 개선 등 효과가 있을 것이라 예상했다.
소프트웨어 공급망 보안은?
소프트웨어가 산업에 침투할수록 보안은 선택이 아닌 필수 영역으로 중요성이 부각된다. 글로벌 보안 기업 소나타입(Sonatype)은 지난 3년 동안 소프트웨어 공급망 공격이 연평균 742% 급증한 것을 우려했다.
레드햇 보고서 내 설문 응답자는 소프트웨어 공급망 보안 우려사항으로, 32%가 ‘애플리케이션 구성 요소’를 꼽았다. 30%는 불충분한 액세스 제어, SBOM(Software Bill of Materials) 및 출처 부족이라 답한 응답자는 29%로 나타났다.
지난 1년 내 소프트웨어 공급망 보안 이슈 경험에 대한 질문에 ‘취약한 애플리케이션 구성 요소’라고 답한 응답자는 69%, ‘CI(지속적 통합)/CD(지속적 제공) 파이프라인 약화’라는 응답자는 68%를 기록했다.
레드햇은 소프트웨어 공급망 보안의 복잡성 및 다면성 측면을 강조하며, 개발·보안·운영을 포괄하는 개념인 데브섹옵스(DevSecOps) 접근 방식을 채택할 것을 조언했다. 마이크 버셀 레드햇 수석 보안 설계자는 개발·운영을 관장하는 데브옵스로 기반을 다지는 것이 데브섹옵스의 핵심이라고 말했다.
레드햇은 “소프트웨어 개발 단계 초기부터 소프트웨어 구성 요소 및 개발 단계에 대한 보안에 집중해야 할 것”이라며 “데브섹옵스를 통해 소프트웨어 도입 전 단계에서 통합적 보안을 자동화해 기업 및 조직은 자동화된 운영으로 전환이 가능하다”고 분석했다. 이는 쿠버네티스에도 해당되는 내용일 것으로 해석된다.
오토메이션월드 최재규 기자 |