Home > 전체기사
해외 보안 전문가들의 최대 골칫거리는? 컨테이너
  |  입력 : 2018-11-15 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
외국에서 데브옵스 자리 잡아갈수록 컨테이너 활용도 높아지고 있어
보안 전문가들, 설정 오류, 컨테이너 취약점, 공격 가장 많이 염려해


[보안뉴스 문가용 기자] 데브옵스(DevOps)라는 새로운 소프트웨어 개발 방식에 IT 업계가 아직도 제대로 적응하지 못하고 있는 것으로 보인다. 특히 보안 업계가 헤매고 있다는 연구 결과가 발표됐다. 보다 정확히 말하면 컨테이너(container)가 보안 업계의 가장 큰 골칫거리라고 한다.

[이미지 = iclickart]


일부 전문가들은 “컨테이너의 사용량이 높아질수록 보안 팀들에겐 좋은 것”이라고 말하기도 한다. 컨테이너 덕분에 지속적으로 이어지는 개발 주기와 워크플로우에(데브옵스의 특징) 보안을 녹여내기가 쉬워진다는 것이다. 그러나 보안 업체인 스택락스(StackRox)가 발표한 “컨테이너 보안의 현황(State of Container Security)”에 의하면 기업의 70%가 컨테이너 보안을 위한 장치나 제도를 마련하고 있지 않다고 한다. 그나마 뭔가를 하고 있는 나머지 30%의 기업들 중에서도 35%는 “투자를 충분히 하고 있지 않다”는 입장이고 25%는 “실제 효과를 발휘할 정도로 세부적이지 않다”고 답했다.

왜 보안 전문가들이 컨테이너에 쉽사리 다가가지 못하는 것일까? 가장 큰 이유는 컨테이너를 사용하다가 설정 실수를 할까봐서였다. 그 다음 요인은 1) 컨테이너에 있는 취약점들과 2) 컨테이너를 겨냥한 공격이 꼽혔다. 올해 초 테슬라(Tesla)에서 발견된 암호화폐 채굴 공격이 컨테이너 서비스인 큐버네티스(Kubernetes)의 설정 오류로부터 시작된 것을 생각해보면 납득이 가는 순위다.

재미있는 건 이번 조사 결과와 IT 전문가들이 하고 있는 걱정 사이의 괴리다. 실제로 컨테이너를 제대로 활용하고 있는 기업은 드물다는 결과가 나온 가운데, IT 전문가들은 컨테이너의 구축과 활용에 있어서 생길 수 있는 오류들을 걱정하고 있다. 써보지도 않고 써본 것과 같은 걱정을 미리 하고 있다는 것이다.

데이터 분석 업체인 사이버에지(CyberEdge)의 마크 부차드(Mark Bouchard) 부회장은 이런 현상을 다음과 같이 설명한다. “컨테이너가 초기에는 본격적인 생산 단계 이전에 많이 투입됐습니다. 그러니 접해보지 않은 건 아니에요. 그러면서 컨테이너에도 취약점이 있을 수 있다는 게 학습된 것이죠. 또한 해커들은 소프트웨어만이 아니라 개발 환경과 플랫폼 어디에든 취약점이 있기만 하면 공격을 하기 시작했어요. 그런 맥락을 아니 전문가들은 컨테이너를 실제 생산에 적용하기 전부터 불안해 하는 것이죠. 자연스러운 현상입니다.”

부차드는 “컨테이너라고 해서 다른 디지털 자산보다 더 특별하거나 어렵게 보호해야 하는 건 아니”라고 강조한다. “기본은 같아요. 권한 부여를 최소 인원에게 한다든가, 위협을 모니터링 한다든가, 취약점을 주기적으로 스캐닝 하는 건 컨테이너 보안에 있어서도 똑같습니다. 물론 다 똑같은 건 아닙니다. 컨테이너 환경을 보호한다는 건 ‘지속적인 변화에 빠르게 대응해야 한다’는 전제를 깔고 가야 하거든요.”

부차드는 “데브옵스, 마이크로서비스, 컨테이너 등 새로운 용어와 개념이 자꾸 등장해 보안 전문가들의 머리를 복잡하게 하는데, 단순하게 생각하라”고 말한다. “이런 신개념이 왜 등장했나요? 속도를 높이기 위해서죠. 개발과 출시의 속도를 높이기 위한 겁니다. 그러니 이런 개념과 맞물려야 하는 보안은, 기존 보안과 비교했을 때 속도에서 가장 큰 차이를 보일 수밖에 없습니다. 그걸 염두에 두고 접근하면 한결 쉬워질 겁니다.”

그 다음으로 큰 차이는 개발 프로세스다. “당연한 말이지만 기존 개발 과정과 데브옵스 개발 과정은 구조부터 다릅니다. 컨테이너, 노드, 레지스트리, 오케스트레이터 등의 새로운 요소들이 도입되기도 하지요. 이런 환경을 보호하려면 보안 전문가들이 새로운 개발론에 익숙해질 필요가 있습니다. 새로운 걸 배워야 한다는 것 자체가 보안 전문가들을 어렵게 하고 있는 것으로 보입니다.”

부차드는 “현재 업계에서 활동 중인 사이버 보안 전문가 대부분은 기존의 ‘온프레미스’ 네트워크에서의 보안을 공부해왔고, 그것에 일가견이 있는 사람들”이라고 말한다. “옛 시대가 저물고 다음 것이 무대로 등장하는 타이밍에 놓여 있습니다. 당연히 혼란스럽고 어려울 수밖에 없습니다. 컨테이너가 어려운 게 아니라, 커다란 시대의 변화가 버거운 것일 수도 있습니다. 미리 겁먹고 있는 것일 수도 있다는 소리입니다.”

3줄 요약
1. 보안 업계 전문가들, 컨테이너 때문에 걱정이 많다.
2. 컨테이너 자체가 아니라 새로운 개발 프로세스가 낯선 것일 수 있다.
3. 컨테이너 보안이라고 해도 보안의 기본은 그대로다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향