컨테이너 보안은 기술 문제가 아니라 프로세스와 문화의 문제에 가까워
[보안뉴스 문가용 기자] 최근 기업들 사이에서 애플리케이션 인프라에 컨테이너 기술을 도입하려는 시도가 활발하게 이뤄지고 있다. 그런 과정 중에 안전하지 않은 줄 알면서도 컨테이너를 구축하고 있어 문제가 되고 있다. 이런 현상에 대해 보안 업체 트립와이어(Tripwire)가 조사해 보고서를 발표했다.
[이미지 = iclickart]
이 보고서, 트립와이어 컨테이너 보안 상태 보고서(Tripwire State of Container Security Report)에 따르면 사용자 기업들은 현재 컨테이너의 보안 상황에 대해 거의 아무 것도 아는 바가 없으며, 그 때문에 꽤나 큰 대가를 치루고 있는 중이라고 한다.
대가라 함은 보안 사고를 말한다. 트립와이어의 연구에 참여한 조직들 중 60%가 “컨테이너 보안 침해 사고를 작년에 겪었다”고 답했다. 전략과 제품 부문 부회장인 팀 얼린(Tim Erlin)은 “60%라는 숫자에 매우 놀랐다”고 말한다. “왜냐하면 컨테이너 보안 사고가 뉴스에 보도되지 않고 있기 때문입니다.”
그렇다고 기업들이 보안 문제에 관심이 전혀 없다는 뜻은 아니다. 94%의 응답자들이 “컨테이너 구축에 있어 보안 문제를 가장 중요한 사안으로 꼽고 있다”고 답을 한 것이다. “가장 우선시 되는 건 컨테이너를 통해 사고가 발생하는 걸 탐지하는 것이고, 그 다음은 그걸 예방하는 겁니다. 적어도 응답자들의 대답에 따르면요.”
당연하지만 구축된 컨테이너가 많으면 많을수록 보안에 대한 염려의 수위도 올라갔다. 10개 이하의 컨테이너를 운영하고 있는 응답자들 중 34%가 “대단히 염려된다”고 답했는데, 100개 이상의 컨테이너를 운영하고 있는 응답자들 중 같은 대답을 한 건 54%였다.
컨테이너 보안 문제의 근간이자 해결책은 개발 사이클에 있다고 얼린은 설명한다. “컨테이너를 도입한다는 건 데브옵스 프로세스를 적용했다는 것입니다. 하지만 보안 문제가 생긴다는 건 데브섹옵스를 모른다는 겁니다. 컨테이너를 보호하는 최고의 방법은 데브섹옵스를 적용하는 것입니다. 즉 개발 과정 여러 곳에 보안 제어장치를 마련해야 한다는 겁니다. 문제가 있다면 완성 전에 다 해결이 될 수 있도록 말이죠.”
얼린은 아직도 너무 많은 조직들이 데브옵스를 도입했으면서도 전통적인 보안 스캔에 의존하고 있다고 강조한다. “그건 애플리케이션이 다 완성되었을 때 사용하는 방법이죠. 즉 사후조치로서의 보안을 위한 기술입니다. 데브섹옵스는 애플리케이션이 완성되는 과정 중에 보안을 구축하는 것이고요. 그러니 제대로 작동할 리가 없습니다.” 보안 툴의 문제가 아니라 아예 개념자체에서부터 파생되는 문제라는 것이다.
“그러므로 컨테이너 보안 문제는 기술 문제는 아닙니다. 새로운 개념을 정착시키는 데에서 오는, 보다 문화적인 문제라고 봐야 합니다. 사실 데브옵스 프로세스에 맞는 컨테이너 보안 툴은 다양하게 시장에 나와 있습니다. 그렇지만 데브옵스를 궁금해 하는 기업들 중 이런 툴들까지 알아보는 사례는 극히 적습니다. 개발 주기를 단축한다는 것에만 온 신경을 집중시키기 때문이죠.”
그러면서 얼린은 “그나마 다행인 건 기업들이 최근 들어 컨테이너 전문 인력을 새롭게 고용하고 있다는 것”이라며 “컨테이너를 전문으로 하는 인력이라면 보안 문제에 대해 잘 이해하고 있는 사람이 대부분”이라고 말했다. 그러나 인력 충원은 임시방편일 뿐이다. 심지어 인력 충원 자체도 그리 쉬운 일은 아니고 말이다.
그래서인지 트립와이어의 연구 응답자 중 71%가 “당분간 컨테이너 관련 보안 사고가 끊임없이 발생할 것”이라고 답했다.
3줄 요약
1. 잘 알려지지 않아서 그렇지, 컨테이너 사고는 꽤나 자주 일어나는 일.
2. 컨테이너 도입하는 기업 많아진다는 건 데브옵스 구축 사례가 늘어난다는 뜻.
3. 데브옵스는 늘어나고 있는 듯 하지만 데브섹옵스는 여전히 찬 밥.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>