[디지털데일리 박현영기자] “클라우드를 향한 여정에서 컨테이너 표준화와 보안 체계 구축은 필수입니다.”

과학기술정보통신부 주최, 정보통신산업진흥원(NIPA)·디지털데일리 공동 주관으로 14일부터 3일간 개최되는 ‘오픈 테크넷 서밋 2021 버추얼 컨퍼런스’에서 송찬규 한국 레드햇 기술대표는 주제 발표자로 나와 컨테이너 기술의 보안 위험 요소를 소개하고 이를 예방하는 방법을 제시했다.

현재 정부 및 민간기업의 IT 조직들은 컨테이너 기술을 수용해 비즈니스를 혁신하고 있다. 클라우드 기반 애플리케이션을 만드는 데 있어 근간이 되는 것이 컨테이너화 작업이기 때문이다. 이 때 서로 다른 기준을 가진 컨테이너로는 자동화나 보안정책을 수립하기 어렵다. 컨테이너 표준화가 중요한 이유다.

송 대표는 실제 물류사업에서 쓰이는 컨테이너를 예로 들며 "클라우드 여정에서 컨테이너의 표준화가 중요하다"고 강조했다. 그는 “컨테이너 적재사항을 따르지 않고 적재할 경우 운송 도중 컨테이너가 한 쪽으로 쏠리거나 무너진다”며 “애플리케이션 컨테이너도 표준화된 가이드라인을 따르지 않으면 IT 인프라 담당자가 어려움을 겪고, 보안에도 취약해진다”고 설명했다.

따라서 애플리케이션 컨테이너에도 OCI, NIST 등 단체에서 제공하는 기준이 존재한다. 미국 국립표준기술연구소인 NIST가 제공하는 ‘NIST SP 800-190 애플리케이션 컨테이너 보안 가이드’가 대표적이다.

송 대표는 NIST SP 800-190을 기준으로 발생할 수 있는 위험 요소를 소개했다. ▲이미지 리스크 ▲레지스트리 리스크 ▲오케스트레이터 리스크 ▲컨테이너 리스크 ▲호스트 OS 리스크 등이다.

우선 컨테이너 기반 환경에서는 취약점이 있는 이미지를 가지고 시스템에 배포하는 경우가 있어 보안에 위협이 될 수 있다. 신뢰할 수 없는 이미지를 사용하는 경우에도 그렇다.

이미지는 레지스트리에 저장되고 배포되는데, 레지스트리는 컨테이너 환경의 시작이다. 이 때 권한을 제대로 관리하지 못해 이미지가 악의적으로 변경되는 경우가 있다. 이를 레지스트리 리스크라고 한다.

오케스트레이터는 컨테이너 환경 전체를 제어 및 관리하는 중요한 역할을 수행한다. 이 과정에서 사용자 계정 및 권한 관리가 미비할 때 악의적인 행위에 노출될 수 있다는 리스크가 있다. 또 런타임 소프트웨어 취약점, 안전하지 않은 컨테이너 런타임 설정 등으로 인해 발생하는 컨테이너 리스크도 존재한다.

아울러 운영 중인 호스트 OS는 모두 공격대상이 될 수 있다. 불필요한 서비스와 계정을 제거하지 않은 채 방치하면 공격 대상이 될 수 있으므로, 공격 가능한 범위를 최대한 줄이는 게 중요하다.

송 대표는 이 같은 리스크들을 예방할 수 있는 방안을 안내했다. 컨테이너로 인프라 시스템 전체가 파괴될 수 있다는 점을 인지하고, 런타임과 OS가 최신 상태인지 항상 확인하는 게 중요하다고 그는 강조했다.

또 여러 리스크의 원인이 되는 이미지가 보안에 취약하지 않은지 판단해야 하며, 그 판단 근거로 쓰이는 매트릭인 레드헷의 ‘헬스 인덱스’를 소개했다. 송 대표는 “위험요소가 어느 정도인지 판단할 수 있게끔 가이드를 제공한다”고 강조했다.

안전한 이미지 사용을 위해 레드햇은 공식 이미지 레지스트리에서 보안성이 검증된 UBI(Universial Base Image)를 제공하고 있다. 각 운영환경에서 적재적소에 활용 가능한 베이스 이미지를 제공하고 있다는 설명이다.

송 대표는 “IT 기업들이 활발히 활용하고 있는 레드햇 엔터프라이즈 리눅스를 근간으로 만들었다”며 “클라우드 여정에 필요한 컨테이너 이미지에 레드햇 UBI를 쓰는 것을 권장한다”고 말했다.