보안 전문가들, 설정 오류, 컨테이너 취약점, 공격 가장 많이 염려해
[보안뉴스 문가용 기자] 데브옵스(DevOps)라는 새로운 소프트웨어 개발 방식에 IT 업계가 아직도 제대로 적응하지 못하고 있는 것으로 보인다. 특히 보안 업계가 헤매고 있다는 연구 결과가 발표됐다. 보다 정확히 말하면 컨테이너(container)가 보안 업계의 가장 큰 골칫거리라고 한다.
[이미지 = iclickart]
일부 전문가들은 “컨테이너의 사용량이 높아질수록 보안 팀들에겐 좋은 것”이라고 말하기도 한다. 컨테이너 덕분에 지속적으로 이어지는 개발 주기와 워크플로우에(데브옵스의 특징) 보안을 녹여내기가 쉬워진다는 것이다. 그러나 보안 업체인 스택락스(StackRox)가 발표한 “컨테이너 보안의 현황(State of Container Security)”에 의하면 기업의 70%가 컨테이너 보안을 위한 장치나 제도를 마련하고 있지 않다고 한다. 그나마 뭔가를 하고 있는 나머지 30%의 기업들 중에서도 35%는 “투자를 충분히 하고 있지 않다”는 입장이고 25%는 “실제 효과를 발휘할 정도로 세부적이지 않다”고 답했다.
왜 보안 전문가들이 컨테이너에 쉽사리 다가가지 못하는 것일까? 가장 큰 이유는 컨테이너를 사용하다가 설정 실수를 할까봐서였다. 그 다음 요인은 1) 컨테이너에 있는 취약점들과 2) 컨테이너를 겨냥한 공격이 꼽혔다. 올해 초 테슬라(Tesla)에서 발견된 암호화폐 채굴 공격이 컨테이너 서비스인 큐버네티스(Kubernetes)의 설정 오류로부터 시작된 것을 생각해보면 납득이 가는 순위다.
재미있는 건 이번 조사 결과와 IT 전문가들이 하고 있는 걱정 사이의 괴리다. 실제로 컨테이너를 제대로 활용하고 있는 기업은 드물다는 결과가 나온 가운데, IT 전문가들은 컨테이너의 구축과 활용에 있어서 생길 수 있는 오류들을 걱정하고 있다. 써보지도 않고 써본 것과 같은 걱정을 미리 하고 있다는 것이다.
데이터 분석 업체인 사이버에지(CyberEdge)의 마크 부차드(Mark Bouchard) 부회장은 이런 현상을 다음과 같이 설명한다. “컨테이너가 초기에는 본격적인 생산 단계 이전에 많이 투입됐습니다. 그러니 접해보지 않은 건 아니에요. 그러면서 컨테이너에도 취약점이 있을 수 있다는 게 학습된 것이죠. 또한 해커들은 소프트웨어만이 아니라 개발 환경과 플랫폼 어디에든 취약점이 있기만 하면 공격을 하기 시작했어요. 그런 맥락을 아니 전문가들은 컨테이너를 실제 생산에 적용하기 전부터 불안해 하는 것이죠. 자연스러운 현상입니다.”
부차드는 “컨테이너라고 해서 다른 디지털 자산보다 더 특별하거나 어렵게 보호해야 하는 건 아니”라고 강조한다. “기본은 같아요. 권한 부여를 최소 인원에게 한다든가, 위협을 모니터링 한다든가, 취약점을 주기적으로 스캐닝 하는 건 컨테이너 보안에 있어서도 똑같습니다. 물론 다 똑같은 건 아닙니다. 컨테이너 환경을 보호한다는 건 ‘지속적인 변화에 빠르게 대응해야 한다’는 전제를 깔고 가야 하거든요.”
부차드는 “데브옵스, 마이크로서비스, 컨테이너 등 새로운 용어와 개념이 자꾸 등장해 보안 전문가들의 머리를 복잡하게 하는데, 단순하게 생각하라”고 말한다. “이런 신개념이 왜 등장했나요? 속도를 높이기 위해서죠. 개발과 출시의 속도를 높이기 위한 겁니다. 그러니 이런 개념과 맞물려야 하는 보안은, 기존 보안과 비교했을 때 속도에서 가장 큰 차이를 보일 수밖에 없습니다. 그걸 염두에 두고 접근하면 한결 쉬워질 겁니다.”
그 다음으로 큰 차이는 개발 프로세스다. “당연한 말이지만 기존 개발 과정과 데브옵스 개발 과정은 구조부터 다릅니다. 컨테이너, 노드, 레지스트리, 오케스트레이터 등의 새로운 요소들이 도입되기도 하지요. 이런 환경을 보호하려면 보안 전문가들이 새로운 개발론에 익숙해질 필요가 있습니다. 새로운 걸 배워야 한다는 것 자체가 보안 전문가들을 어렵게 하고 있는 것으로 보입니다.”
부차드는 “현재 업계에서 활동 중인 사이버 보안 전문가 대부분은 기존의 ‘온프레미스’ 네트워크에서의 보안을 공부해왔고, 그것에 일가견이 있는 사람들”이라고 말한다. “옛 시대가 저물고 다음 것이 무대로 등장하는 타이밍에 놓여 있습니다. 당연히 혼란스럽고 어려울 수밖에 없습니다. 컨테이너가 어려운 게 아니라, 커다란 시대의 변화가 버거운 것일 수도 있습니다. 미리 겁먹고 있는 것일 수도 있다는 소리입니다.”
3줄 요약
1. 보안 업계 전문가들, 컨테이너 때문에 걱정이 많다.
2. 컨테이너 자체가 아니라 새로운 개발 프로세스가 낯선 것일 수 있다.
3. 컨테이너 보안이라고 해도 보안의 기본은 그대로다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>