레드햇이 발표한 ‘2023 쿠버네티스 보안 현황’에 의하면 쿠버네티스는 최근 몇 년 채택률이 급증하고 있는 비교적 최신 기술로, 많은 조직들이 빠르게 쿠버네티스 환경에 익숙해지고 있지만,  컨테이너화된 워크로드의 보호 측면에서는 아직도 많은 우려가 남아있는 것으로 밝혀졌다.

레드햇의 2023 쿠버네티스 보안 현황 보고서는 소프트웨어 공급망에 대한 위험을 포함해, 클라우드 네이티브 개발과 관련해 조직이 직면하는 보안 위험과, 이를 완화해 애플리케이션 및 IT 환경을 보호하는 방법에 대해 살펴보고 있다.

이 보고서는 전 세계 600명의 데브옵스(DevOps), 엔지니어링과 보안 전문가를 대상으로 실시한 설문조사를 바탕으로 작성됐으며, 조직이 클라우드 네이티브 도입 여정에서 직면하는 가장 일반적인 보안 문제와 비즈니스에 미치는 영향에 대해 설명하고 있다.

이 보고서에 의하면, 전체 응답자의 38%는 컨테이너화된 운영에 대한 보안 투자가 충분하지 않다고 답했으며, 이는 2022년에 비해 7% 증가한 수치다. 또한 응답자의 67%는 보안 문제로 인해 클라우드 네이티브 도입이 지연된 경험이 있다고 답했으며, 응답자의 절반 이상이 지난 12개월 동안 클라우드 네이티브와 컨테이너화된 개발과 관련된 소프트웨어 공급망 문제를 경험한 적이 있다고 답했다.

쿠버네티스 도입 증가에 못 미치는 보안 투자 수준

지난 몇 년 동안 보안이 컨테이너 도입에 있어 최우선 과제 중 하나라는 사실은 지속적으로 확인돼 왔지만, 올해 설문조사에서도 보안을 심각하게 고려하지 않거나 보안 투자가 충분하지 않다고 답한 응답자가 38%로, 지난 해에 비해 7% 증가했다. 여기서 흥미로운 점은 쿠버네티스의 도입은 계속해서 증가하고 있지만, 이런 성장이 항상 동일한 수준의 보안 투자 증가로 이어지지는 않는다는 점이다.

클라우드 네이티브 기술을 도입하는 주된 이유 중 하나는 민첩성이다. 시장 출시 기간 단축, 적응성, 안정성은 모두 클라우드 네이티브 기술의 장점이자 기업이 IT 인프라를 디지털 방식으로 혁신하려는 핵심 동력이다. 하지만 조사에 따르면 응답자의 67%가 보안 문제로 인해 애플리케이션 배포를 지연시키거나 속도를 늦춰야 했다고 답했다.

조사에 따르면 클라우드 네이티브 보안 인시던트로 인해 프로젝트가 지연되는 경우가 많으며, 비즈니스에 더 심각한 영향을 미칠 수 있는 다른 결과들도 있는 것으로 나타났다. 응답자의 21%는 보안 문제로 인해 직원을 해고했으며, 25%는 조직에 벌금이 부과되었다고 답했다. 이로 인해 귀중한 인재, 지식, 경험이 손실되고 비즈니스를 효과적으로 운영하는 능력에도 부정적인 영향을 끼칠 수 있다. 그 외에도 컴플라이언스 위반 또는 데이터 침해로 인해 벌금이 부과된 경우 기업은 평판에 타격을 입을 뿐만 아니라 상당한 재정적 부담을 안게 된다.

응답자의 37%는 컨테이너와 쿠버네티스 보안 인시던트로 인해 매출/고객 손실이 발생했다고 답했다. 보안 침해가 발생하면 기업은 개발 단계에서 놓친 취약점을 해결하기 위해 보안에 무엇보다 많은 노력을 기울여야 하기 때문에 중요 프로젝트나 제품 출시가 지연될 수 있다. 이런 지연은 비즈니스에 파급 효과를 불러와 매출 손실, 고객 불만족, 또는 경쟁업체에 대한 시장 점유율 손실까지도 초래할 수 있다. 또한 보안 인시던트가 발생할 경우 고객은 기업의 데이터 보호 역량에 대한 신뢰를 잃어 보안 능력이 더욱 탄탄하고 검증된 경쟁업체를 찾을 수 있으므로 고객 손실로 이어질 수도 있다.

소프트웨어 공급망 보안의 불안 요인

소프트웨어 공급망 보안에 대한 관심은 그 어느 때보다 높았으며, 특히 소나타입(Sonatype)은 지난 3년 동안 소프트웨어 공급망 공격이 연평균 742%라는 놀라운 증가율을 기록했다고 보고했다.

설문조사 응답자에게 쿠버네티스 소프트웨어 공급망 보안과 관련해 가장 우려되는 문제와 지난 12개월 내에 경험한 문제 등 다양한 질문을 던진 결과 컨테이너화된 환경을 상징하는 무분별하게 확산된 소프트웨어 공급망에, 보안 태세에 영향을 미치는 수많은 보안 고려 사항이 있으며, 상위 세 가지 고려 사항으로 취약한 애플리케이션 구성 요소(32%), 불충분한 액세스 제어(30%), SBOM(Software Bill of Materials) 또는 출처 부족(29%)이 꼽혔다. 더욱 놀라운 점은 응답자의 절반 이상이 사실상 질문에서 제시했던 모든 보안 문제를 경험했다는 것이다. 그 중 취약한 애플리케이션 구성 요소와 지속적 통합/지속적 제공(CI/CD) 파이프라인 약화가 각각 69%와 68%로, 가장 많이 언급된 두 가지 문제로 꼽혔다.

그럼에도 불구하고 긍정적인 점은 많은 조직이 소프트웨어 공급망 보안을 강화하기 위해 노력하고 있다는 것이다. 소프트웨어 공급망 보안은 복잡하고 다면적인 분야인 만큼, 포괄적인 데브섹옵스 접근 방식을 취하는 것이 효과적인 전략이다. 응답자의 거의 절반이 데브섹옵스 이니셔티브 진행 단계에 있다고 답했으며, 데브섹옵스의 가치를 이해하고 있으며 도입 초기 단계에 있다고 답한 비율도 39%였다.