[디지털데일리 이상일기자] 클라우드 환경에서 운영체제(OS)를 가상화해 배포하는 컨테이너 기술이 각광받고 있는 가운데 이에 대한 보안 프로세스도 중요해지고 있다.
특히 개발 및 서비스 환경을 자유롭게 이미지로 만들고 자동화해 배포가 가능한 컨테이너-쿠버네티스 환경에선 표준 준수 및 신뢰기관을 통한 이미지 사용 및 배포가 중요하다는 관측이다.
15일 디지털데일리 DD튜브에서 개최된 ‘클라우드 임팩트 2021’ 버추얼 컨퍼런스에서 김상곤 한국레드햇 기술대표는 주제발표를 통해 “완전히 자동화된 환경에서 장애는 경제적으로 치명적인 손실이 발생하기때문에 표준, 상호운용성을 위한 정확한 규격이 필요하다"며 "이것이 복잡한 환경에서 장비와 서비스 인프라에 대한 관리와 투자를 보호하는 유일한 방법”이라고 강조했다.
이를 위해 레드햇에선 컨테이너 헬스 인덱스(Health Index)를 통해 컨테이너 환경에서의 보안과 표준을 제시한다. 레드햇 공식 이미지 레지스트리에서 보안성 및 안전성이 검증된 UBI(Universal Base Image)를 제공하고 있다는 설명이다.
컨테이너 기술은 개발자 자신이 개발환경을 어디나 쉽게 배포할 수 있는 장점을 가지고 있다. 때문에 산업전반에 사용되고 있는데 일례로 가정에서 흔히 사용되는 외부에서 스마트폰으로 제어하는 온도조절 장치 등도 컨테이너로 SW업데이트가 배포되고 있다.
이처럼 클라우드 환경에서의 컨테이너 기술이 관심 받고 이러한 부분들이 쿠버네티스 기반으로 성장한 것이 5년밖에 안됐는데도 기술 발전이 빠른 편이다.
현재 컨테이너 정의된 표준들은 컨테이너 이미지, 기동, 배포에 대한 표준 등이 있고 여기에 쿠버네틱스 환경에서어의 네트워크 정의 등 스택(Stack)으로 모여 에코시스템이 형성된 상황이다.
여기에 쿠버네티스 보안 매트릭이나 표준도 업데이트 되고 있다. 이는 다시 말하면 컨테이너와 쿠버네티스 환경에서의 보안이 까다롭다는 것을 의미한다. 여기서 참조할 만한 것이 NIST, 미국 국립표준연구소의 컨테이너플랫폼 표준 가이드라인이다.
NIST의 애플리케이션 컨테이너 보안 가이드는 특정 컨테이너를 지칭하거나 클라우드 환경을 지칭하지 않고 중립적인 환경에서 필수적으로 지켜야 할 요소에 대해 가이드한다. 컨테이너 핵심 기술인 이미지, 이미지 레지스트리 저장 방법, 레지스트리 보안 가이드, 호스트 OS에 대한 보안 가이드 등으로 구성된다.
이를 기반으로 김상곤 기술대표는 “컨테이너 보안의 시작은 견고한 OS”라며 “컨테이너가 OS를 가상화해 배포하는 것이 기본인 만큼 기반 OS가 중요하다. 이러한 호스트 OS을 사용할 때 범용이 아니라 컨테이너 전용 OS를 사용하는 것이 보안에 유리하다”고 설명했다.
컨테이너 전용 OS는 컨테이너 클러스터 환경을 안전하게 하기 위해 읽기전용 파일시스템을 가지고 있다. 이를 통해 외부에서의 공격할 수 있는 시스템의 표면이 최대한 적게 노출된다. 다만 OS 업데이트를 지속적으로 하지 않는다면 취약점 노출 등이 발생할 수 있다.
컨테이너는 이미지를 통해 업데이트하고 배포하게 되는데 취약점이 있는 이미지를 가지고 와서 컨테이너에 직접 배포하는 것은 위협이 있을 수 있다. 이미지에 대한 권한설정 누락이나 남용으로 인한 문제도 있다. 악성코드가 포함돼 이미지를 배포할 경우가 있는 만큼 실제 발행하는 주체가 맞는지 확인하는 것도 중요한 요소다.
한편 컨테이너는 이식과 재사용이 용이하기 때문에 검증되지 않은 이미지를 받는 것 보다는 공인되고 신뢰된 기관에서 만들어진 것을 사용하는 것도 중요하다고 김상곤 영업대표는 강조했다.