제1장: 컨테이너 보안 위협 모델
Source: Dev.to
Introduction
This post is part of the Ultimate Container Security Series, a structured, multi‑part guide covering container security from foundational concepts to runtime protection. For an overview of the series structure, scope, and update schedule, see the series introduction post here.
Before talking about tools, configurations, or best practices, it is important to understand what we are actually trying to protect and from whom. This is where a threat model comes in—a structured way to reason about security risks.
핵심 개념
| Concept | Definition |
|---|---|
| Risk | 잠재적인 문제와 발생했을 때의 영향. |
| Threat | 그 위험이 현실이 되도록 할 수 있는 가능한 경로. |
| Mitigation | 위협이 성공할 가능성을 낮추거나 그 영향을 제한하는 대책. |
간단한 예시
재택근무를 하면서 민감한 업무 데이터를 담고 있는 노트북에 의존한다고 가정해 보세요.
- 위험: 데이터가 도난당할 수 있습니다.
- 위협:
- 누군가 집에 침입하는 경우
- 차 안에서 노트북이 도난당하는 경우
- 악성코드 설치를 속아 넘어가는 경우
- 완화 조치:
- 문을 잠그기
- 디스크 암호화
- 강력한 인증 사용
핵심 포인트: 하나의 위험은 여러 가지 위협을 가질 수 있으며, 각 위협은 서로 다른 완화 조치를 필요로 할 수 있습니다.
상황‑별 위험
- 은행 – 금융 절도를 방지하는 데 초점.
- 전자상거래 – 사기 탐지와 서비스 가용성을 우선시.
- 개인 블로그 – 주로 계정 탈취 또는 변조에 대한 우려.
규제 환경도 위험에 영향을 미칩니다. 예를 들어, 개인 데이터 유출은 일부 지역에서는 주로 평판 문제일 수 있지만, 유럽 연합에서는 GDPR이 상당한 금전적 벌금을 부과할 수 있습니다.
위험이 다르기 때문에 특정 위협의 중요성과 적절한 완화 조치도 달라집니다. 따라서 위협 모델링은 단일 “정답” 위협 목록을 찾는 것이 아니라, 주어진 환경에서 중요한 위협을 체계적으로 식별하고 우선순위를 정하는 것입니다.
위협 모델링이란?
Threat modeling은 시스템의 구성 요소, 인터페이스 및 동작 방식을 검토하여 잠재적인 위협을 식별하고 열거하는 과정입니다. 이를 잘 수행하면 시스템이 가장 취약한 지점과 보안 노력이 가장 큰 효과를 발휘할 수 있는 영역을 명확히 파악할 수 있습니다.
이 장의 목표는 시리즈 전체에 걸쳐 사용할 공통된 사고 모델을 확립하는 것입니다. 우리는 컨테이너 위협이 일반적으로 어떻게 구조화되는지 다양한 방식을 살펴보고, 이 시리즈에서 따를 접근 방식을 설명할 것입니다.
Common Threat‑Modeling Approaches in Container Security
There is no single comprehensive threat model that fits all environments, but several well‑established approaches are commonly used. Each emphasizes a different perspective.
1. Component‑Based Model
Source: NIST Special Publication 800‑190 – Application Container Security Guide (2017)
| Component | Typical Risks |
|---|---|
| Image | Vulnerabilities, malicious layers, outdated packages |
| Registry | Unauthorized access, tampering, credential leakage |
| Orchestrator | Misconfiguration, privilege escalation, API abuse |
| Container | Runtime escape, insecure defaults, privilege misuse |
| Host OS | Kernel exploits, insecure host configuration, resource abuse |
- Why it matters: Each component represents a distinct attack surface. By examining them independently, architects and operators can understand where controls must exist and how failures in one area can affect the rest of the system.
- Series note: We adopt the same underlying risks identified by NIST but re‑organize them along the container lifecycle to make them easier to learn and apply in practice.
2. Attacker‑Centric Model
Source: Container Security by Liz Rice
| Actor | Description |
|---|---|
| External attackers | Attempt to access a deployment from outside the environment. |
| Internal attackers | Have gained some level of access inside the environment. |
| Malicious insiders | Developers or administrators with legitimate privileges who act maliciously. |
| Inadvertent insiders | Accidentally introduce security issues (e.g., misconfiguration). |
| Application processes | May misuse their programmatic access (e.g., abusing APIs). |
- Why it matters: This approach helps understand intent, privilege levels, and realistic attack paths. It is often used in incident response, threat hunting, and security reviews.
3. Technique‑Driven Model
Source: MITRE ATT&CK for Containers
| ATT&CK Tactic | Example Techniques |
|---|---|
| Initial Access | Exploit vulnerable image, credential theft |
| Execution | Run malicious container, abuse entrypoint |
| Persistence | Deploy hidden sidecar, modify daemon config |
| Privilege Escalation | Escape to host, gain root inside container |
| Defense Evasion | Hide processes, tamper logs |
| Credential Access | Dump secrets, intercept API tokens |
| Discovery | Enumerate containers, probe network |
| Lateral Movement | Move between pods, compromise other services |
| Impact | Data exfiltration, service disruption |
Image source: MITRE ATT&CK for Containers
- Why it matters: Useful for detection and response, as it maps adversary behavior over time. However, it can be too detailed for an introductory threat model on its own.
4. Lifecycle‑Based Model
Focus: When threats occur rather than where or who is involved. It aligns closely with how containerized systems are built and operated in practice.
In this series, we adopt the lifecycle‑based approach, using the following stages:
| Lifecycle Stage | Corresponding Part in the Series |
|---|---|
| Build | PART 2: Secure Container Image Building |
| Distribution | PART 3: Registries & Supply Chain Security |
| Runtime | PART 4: Runtime Protection & Monitoring |
| Decommission | PART 5: Secure Teardown & Data Sanitization |
By mapping threats to each stage, readers can more easily apply mitigations where they are most relevant.
요약
- 위협 모델링은 컨테이너 환경에서 보안 위험을 식별하고, 우선순위를 정하며, 완화하기 위한 구조화된 방법을 제공합니다.
- 다양한 모델링 접근 방식이 존재합니다—컴포넌트 기반, 공격자 중심, 기술 기반, 수명주기 기반—각각은 다른 관점을 제공합니다.
- 이 시리즈는 NIST의 컴포넌트 목록 및 기타 기존 프레임워크에서 얻은 통찰을 더한 수명주기 기반 모델을 채택하여, 독자들에게 컨테이너 보안을 위한 실용적인 단계별 로드맵을 제공합니다.
배포 – PART 4: 호스트 및 컨테이너 플랫폼 보안
런타임 – PART 5: 컨테이너 런타임 보안
이 접근 방식은 컨테이너가 시스템을 통과하는 순서대로 위협을 분석하면서도, 컴포넌트 기반 및 공격자 중심 모델에서 얻은 통찰을 포함합니다.
Note: 모든 환경에 맞는 단일 위협 모델은 없지만, 이 시리즈에서 다루는 많은 위협은 규모나 플랫폼에 관계없이 대부분의 컨테이너 배포에 공통됩니다.
위협 모델에서 공격 벡터로
위협 모델이 정의되면 다음 단계는 공격 벡터를 식별하는 것입니다—공격자가 시스템을 악용하기 위해 사용할 수 있는 구체적인 진입점입니다.
컨테이너화된 환경에서는 컨테이너 수명 주기의 모든 단계와 여러 컴포넌트에 걸쳐 공격 벡터가 나타날 수 있습니다. 일반적인 예는 다음과 같습니다:
- 컨테이너 내부에서 실행되는 취약한 애플리케이션 코드
- 보안이 취약한 컨테이너 이미지 빌드 구성
- 손상되었거나 신뢰할 수 없는 컨테이너 이미지 공급 체인
- 보안이 취약한 이미지 저장 및 검색 메커니즘
- 약한 호스트 머신 및 커널 보안
- 노출되었거나 과도한 권한을 가진 인증 정보 및 토큰
- 평면적이거나 제대로 분리되지 않은 컨테이너 네트워킹
- 컨테이너 탈출 취약점
핵심 보안 원칙
특정 위협 모델이나 배포 아키텍처와 관계없이, 다음 보안 원칙들은 컨테이너 환경에서 위험을 지속적으로 감소시킵니다. 이 원칙들은 위협 모델을 대체하는 것이 아니라, 완화책을 선택하고 적용하는 방식을 안내하며, 시리즈 전반에 걸쳐 다시 다루어질 것입니다:
- 정기적인 감사와 신속한 업데이트
- 최소 권한 원칙 적용
- 네트워크 분할 및 격리
- 런타임 가시성 및 강제 적용
- 지속적인 이미지 스캔
- 단일 제어가 아닌 방어 심화
- 노출된 공격 표면 감소
- 침해 시 파급 범위 제한
- 역할 및 시스템 간 명확한 업무 분리
이 글에 대하여
이 글은 궁극적인 컨테이너 보안 시리즈의 한 부분으로, 컨테이너 보안 개념을 실용적으로 정리하고 설명하기 위한 지속적인 노력의 일환입니다.
관련 주제를 탐색하거나 다음에 다룰 내용을 확인하고 싶다면, 전체 로드맵을 제공하는 시리즈 소개 포스트를 참조하십시오.