software

9일차 — Runtime Threat Detection (빨간 눈을 가진 그림자)

발행: (2025년 12월 9일 오후 06:57 GMT+9)
6 min read
원문: Dev.to

Source: Dev.to

Runtime Threat Detection (The Shadow with Red Eyes)

첫 번째 CVE 공격과 런타임 탐지.
Black Forest Shadow는 어두운 동화적 서사를 통해 컨테이너 보안 개념을 탐구하는 연속 Advent 시리즈입니다.

소나무 사이에 밤이 무겁게 내려앉고, Gord와 Rothütle은 숲 속으로 더 깊이 들어갑니다. 두 개의 랜턴이 어둠 속에서 작은 떠다니는 별처럼 빛납니다. 길은 좁아지고, 서리가 발밑에서 바스락거립니다. 갑작스러운 움직임의 파열—

Rothütle의 랜턴이 유리와 어둠이 뒤섞인 폭발을 일으킵니다. 그는 뒤로 비틀거리며 심장이 뛰는 소리를 듣습니다.

“누구야?!”

침묵. 오직 숲의 차가운 숨결만이 남아 있습니다.

Gord는 이미 그의 옆에 서서 자신의 랜턴을 들어올립니다. 그 빛은 Rothütle의 그림자를 고목의 줄기에 길게 드리웁니다. 그때 숲이 움직입니다. Gord는 망토 아래에 랜턴을 내리지만, 나무에 드리워진 그림자는 사라지지 않고, 이제 그 눈은 불타는 빨간색으로 빛납니다.

“나무에서 떨어져,” Gord가 속삭입니다.

Rothütle가 움직이려 하지만, 그림자가 그의 팔을 잡아당깁니다. 차가운 연기의 손가락이 그의 소매를 휘감으며 나무껍질 쪽으로 끌어당깁니다. Gord가 몸을 던져 검을 휘두릅니다. 검은 그림자의 팔을 깨끗이 베어내고—검은, 흐릿한 손이 잉크가 쏟아진 듯 땅에 떨어집니다. 그녀의 다음 일격은 마치 구름과 증오로만 이루어진 존재를 뚫고 지나갑니다.

“움직이고 있어!” Gord가 소리칩니다. “이대로는 때릴 수가 없어!”

Rothütle가 Gord의 망토를 잡아당겨 랜턴을 완전히 드러냅니다. 강렬한 빛이 나무 전체에 퍼집니다. 그림자는 비명—소리는 없지만 격렬하게—그 가장자리가 사라집니다. 이제 충분히 실체가 된 그림자 위에 Gord가 발을 디디고, 몸을 돌려 정확한 한 번의 휘두름으로 머리를 베어냅니다. 어둠은 허무 속으로 무너집니다. 숲이 숨을 내쉽니다.

Rothütle는 팔을 문지릅니다. Gord는 엄숙히 고개를 끄덕입니다.

“그는 말이 별로 없는 타입이었어.”

“그럼… 너는 그를 알았던 거야?” Rothütle가 묻습니다.

Gord는 쓰러진 그림자를 살펴봅니다.

“그건 CVE야,” 그녀가 평평하게 말합니다. “Corrupting Vile Entity(부패한 사악한 존재)의 약자야.”

Rothütle가 눈을 깜빡입니다.

“그 설명이 오히려 모든 것을 더 흐리게 만들었어.”

Tip of the Day: Detect threats at runtime — before they become breaches

숲 속의 CVE는 실제 런타임 위협과 같은 방식으로 행동합니다:

  • 어둠 속에 숨는다(가시성이 낮은 프로세스).
  • 시스템이 약해질 때만 움직인다(랜턴이 깨질 때).
  • 빛이 비추면 “실체”가 된다—관측성을 통해 행동이 드러날 때.

현대 워크로드도 동일한 보호가 필요합니다:

  • eBPF 기반 모니터(e.g., Tetragon, Falco)
  • Kubernetes에서의 이상 탐지
  • 시스템 콜 추적
  • 실시간 정책 시행

Gord가 랜턴으로 그림자를 드러내듯, 런타임 탐지는 정상 로그에 숨어 있는 악성 행동을 드러냅니다. 위협을 비추고 → 정책을 적용하고 → 위험을 제거합니다.

Example: Falco detecting unexpected shell execution

# Falco rule: Unexpected Shell
- rule: Unexpected Shell
  desc: Container launched a shell unexpectedly
  condition: >
    spawned_process and container and
    proc.name in (bash, sh, zsh)
  output: >
    Unexpected shell in container (user=%user.name command=%proc.cmdline)
  priority: WARNING

Book: Docker and Kubernetes Security – currently 40 % off.
🔗 buy.DockerSecurity.io – use code BLACKFOREST25.

Back to Blog

관련 글

더 보기 »