역동적인 클라우드 네이티브 보안에서 이미지 스캐닝은 클라우드 워크로드와 디지털 자산의 안전성과 무결성을 확보하는데 매우 중요한 도구가 되었습니다.
전통적인 이미지 스캐너는 쿠버네티스 워크로드를 위협하는 취약점(CVE)을 찾는데 집중합니다. 그러나 대부분의 이미지 스캐너는 몇 가지 부족한 부분이 있습니다. 바로 말웨어, 바이러스, 암호화폐 채굴기와 같은 악성 위협을 포괄적으로 스캐닝하는 기능입니다.
긴급한 주의를 필요로 하는 이미지 스캐닝에 대해 조금 더 상세히 알아보겠습니다.
이미지 스캐닝 - 끝이 아닌 시작
클라우드 네이티브 워크로드가 증가하면서 SBOM이나 취약점 스캐닝과 같은 보안에 대한 요구가 늘어나고 있습니다. 소프트웨어 구성요소의 약점을 파악하는데 요긴하지만, 이미지 스캐닝은 심각한 위협 벡터를 놓칠 수 있습니다. 바로 진화하는 악의적인 말웨어, 바이러스, 랜섬웨어 공격이나 암호화폐 채굴기로 인하여 이미지가 위험에 직접 노출됩니다.
안타깝게도 이런 진화하는 위협은 제대로 발견되지 못하고 지나치는 경우가 왕왕 있습니다. 대부분의 이미지 스캐닝 도구가 전통적인 이슈에 맞춰저 있고, 악성 코드를 효과적으로 발견하고 무력화하는 데는 부족함이 많습니다. 이로 인해 무해한 이미지가 취약점 등 파괴적인 공격에 노출될 수 있다는 사실을 간과하고 있습니다.
이미지 서명
컨테이너 이미지 서명을 남김으로써 이미지의 신뢰성과 무결성을 확보할 수 있습니다. 서명의 목적은 이미지가 최초 서명된 후에 변경되거나 손상되지 않았음을 증명합니다. 즉, 서명을 확인함으로써 이미지의 출처와 내용에 대해 신뢰할 수 있습니다.
컨테이너 이미지 서명을 지원하는 도구에는 Cosign, Notary, Docker Content Trust 가 있으며, 많은 조직이 이런 관행을 도입하여 공급망 보안을 강화하고 있습니다.
이미지 스캐닝, 이미지 서명 그 다음 단계는
이미지가 취약점으로부터 안전하게 보호되더라도 말웨어에 대해서도 안전하다고 이야기할 수는 없습니다. 서명 기반 스캔 (SBOM 서명과는 다릅니다)은 식별된 악성 프로그램 데이터베이스 내에서 악성 코드의 특징적인 패턴을 검색합니다. 클러스터 내에서 이미지 서명을 사용하지 않을 경우 스캐닝은 매우 중요합니다.
KDR (Kubernetes Detection and Response) 관점에서 아직 스캐닝이 모든 것을 해결해 주는 만능 해결책은 아닙니다. 런타임 위험 감지 도구는 위험을 발견하기 위해 위협의 존재 여부와 상관없이 최대한 많은 정보를 수집합니다.
예를 들어, 악의적인 행위 패턴이 발견되었을 경우, 프플래그가 지정된 바이너리가 기본 이미지의 일부인지 아닌지를 먼저 고려합니다. 바이너리가 기본 이미지의 일부일 경우, 스캐닝 도구는 이 위협을 덜 심각한 것으로 간주하고 오 탐지(false positive)로 분류하여 초기에 플래그가 지정된 행위를 정상적인 애플리케이션의 활동으로 간주할 수 있습니다. 반면, 바이너리가 기본 이미지에서 벗어나면 즉시 우선순위가 높은 경고를 발생합니다.
결론
‘시프트 레프트’가 보안 관행은 이미지 스캐닝과 같이 높은 가치를 제공합니다. 그러나 위협이 틈새를 뚫고 들어오는 것을 막기 위해 항상 주의하고 있어야 합니다. 취약점을 넘어서 말웨어, 바이러스, 악성 코드를 포함하는 포괄적인 이미지 분석은 안전한 클라우드 네이티브 보안을 구현하는데 매우 중요합니다. 더불어 보안을 희생하지 않고 비즈니스의 속도와 민첩성을 유지하는 데에도 매우 중요합니다.
원문 출처: The missing piece in image scanning
참고 링크:
