Kubernetes 1.35 보안: 오늘 출시된 7가지 혁신적인 기능 (DevSecOps 필수)
Source: Dev.to
번역을 진행하려면 전체 텍스트(코드 블록과 URL을 제외한 본문)를 제공해 주시겠어요? 텍스트를 주시면 요청하신 대로 한국어로 번역해 드리겠습니다.
Kubernetes v1.35 – 보안 중심 릴리스 (2025년 12월 17일)
Kubernetes 1.35가 오늘 출시되었습니다. 프로덕션 워크로드를 운영하고 있다면 반드시 주목해야 합니다. 이번 업데이트는 단순한 점진적 개선이 아니라, 워크로드 격리, 인증, 방어‑인‑깊이(Defense‑in‑Depth)에 대한 사고 방식을 근본적으로 바꾸는 보안 프리미티브가 대거 포함되어 있습니다.
베타‑기본값이 된 **사용자 네임스페이스(user namespaces)**부터 mTLS 포드 인증서 및 강화된 **이미지‑풀 검증(image‑pull verification)**에 이르기까지, Kubernetes 1.35는 수년간 DevSecOps 팀이 요구해 온 기능들을 제공합니다. 실제로 중요한 부분을 정리해 보겠습니다.
왜 Kubernetes 1.35 보안이 지금 중요한가
보안 환경이 급격히 변했습니다. 멀티‑테넌트 클러스터, 제로‑트러스트 아키텍처, 그리고 공급망 공격으로 인해 Kubernetes는 기본 RBAC와 네트워크 정책을 넘어선 진화를 요구받고 있습니다. 버전 1.35는 실제 침해 사례에서 악용된 격차를 메워줍니다:
- 공유 사용자 네임스페이스를 통한 컨테이너 탈출
- 캐시된 레이어에서 무단 이미지 재사용
- 취약한 워크로드 간 인증
- kubelet 서빙 인증서에 대한 사칭 공격
이것들은 이론적인 취약점이 아니라 실제로 표적이 되고 있는 위협입니다. Kubernetes 1.35의 보안 기능은 프로덕션 팀이 즉시 필요로 하는 완화 방안을 제공합니다.
Kubernetes 1.35의 7가지 핵심 보안 기능
| # | 기능 | 성숙도 | 동작 설명 | 중요성 | 빠른 구현 |
|---|---|---|---|---|---|
| 1 | User Namespaces (KEP‑127) | Beta‑by‑Default | 컨테이너 UID 0(root)를 호스트의 비특권 UID에 매핑합니다. 컨테이너 프로세스가 탈출하더라도 호스트 권한을 갖지 못합니다. | 컨테이너 탈출 취약점(CVE‑2024‑21626, runC 익스플로잇 등)을 활용하기 매우 어렵게 만듭니다. | PodSpec에 hostUsers: false를 설정합니다. 먼저 스토리지 드라이버와 host‑path 마운트를 테스트하세요. |
| 2 | mTLS Pod Certificates (KEP‑4317) | Beta | Pod와 API 서버 간에 일급 mTLS를 제공하여 수동 인증서 관리를 없앱니다. | 제로 트러스트 네트워킹을 단순화하고 서비스 메시 도입을 가속화합니다. | feature gate를 활성화하고 제어 플레인이 pod 인증서를 자동으로 발급하도록 합니다. |
| 3 | Robust Image Pull Authorization (KEP‑2535) | Beta | imagePullCredentialsVerificationPolicy를 도입하여, 캐시된 이미지라도 kubelet이 레지스트리 자격 증명을 재검증하도록 강제합니다. | 적절한 풀 자격 증명 없이 캐시된 이미지를 어떤 Pod도 사용할 수 있는 대규모 공급망 위험을 차단합니다. | kubelet 설정에 정책을 추가하세요; 업데이트 전까지 캐시 이미지 워크플로가 중단될 수 있습니다. |
| 4 | Hardened Kubelet Certificate Validation (KEP‑4872) | Alpha | API 서버가 kubelet의 서비스 인증서 CN이 system:node:와 일치하는지 검증합니다. | 노드 가장 공격(MITM)을 방지합니다. | alpha feature gate를 활성화하고 노드 인증서를 검증하세요. |
| 5 | Constrained Impersonation (KEP‑5284) | Alpha | 사용자가 다른 신원을 가장하더라도 자신에게 권한이 없는 작업을 수행할 수 없습니다. | 높은 권한을 가진 서비스 계정을 가장하는 디버그/프록시 워크플로를 통한 권한 상승을 차단합니다. | alpha feature gate를 활성화하고 RBAC에서 impersonate 동사를 감사하세요. |
| 6 | User Namespaces for HostNetwork Pods (KEP‑5607) | Alpha | hostNetwork: true인 Pod가 hostUsers: false를 유지하도록 허용합니다. | 호스트 네트워크 접근이 필요한 워크로드(CNI 플러그인, 모니터링 에이전트 등)를 호스트 루트 권한 없이 실행할 수 있게 합니다. | alpha feature gate를 활성화하고 host‑networked Pod에 hostUsers: false를 설정하세요. |
| 7 | CSI ServiceAccount Tokens via Secrets (KEP‑5538) | Alpha | CSI 드라이버 ServiceAccount 토큰을 volumeContext에서 전용 secrets 필드로 이동합니다. | 민감한 자격 증명을 비민감 메타데이터와 분리해 실수로 인한 유출을 감소시킵니다. | alpha feature gate를 활성화하고 CSI 드라이버 매니페스트를 적절히 업데이트하세요. |
DevSecOps 팀이 지금 해야 할 일
다음 분기 업그레이드 주기를 기다리지 마세요. 실행 가능한 계획은 다음과 같습니다:
- 테스트 사용자 네임스페이스를 스테이징에서 테스트하세요:
스토리지/권한 문제를 모니터링합니다.securityContext: hostUsers: false - 강력한 이미지 풀 인증 활성화:
kubelet 설정에imagePullCredentialsVerificationPolicy를 추가하세요. 캐시된 이미지 워크플로가 중단될 수 있으니 먼저 테스트하세요. - Impersonation RBAC 감사:
impersonate동사를 가진 사용자를 검토하세요. 과도하게 권한이 부여된 디버그 워크플로는 제한된 임퍼시네이션이 적용되기 전에 강화해야 합니다. - 서비스 메시 마이그레이션을 위한 mTLS Pod 인증서 평가:
인증서 복잡성으로 메시 도입이 지연되었다면 KEP‑4317이 해당 차단 요소를 제거합니다. - Alpha 기능 채택 정책 검토:
kubelet 인증서 검증 및 제한된 임퍼시네이션과 같은 기능은 아직 알파 단계입니다. 위험 허용도가 조기 테스트를 허용하는지 결정하세요.
FAQ – Kubernetes 1.35 보안
| 질문 | 답변 |
|---|---|
| 프로덕션에서 7가지 보안 기능을 모두 즉시 활성화해야 하나요? | 아니오. 사용자 네임스페이스(beta)와 mTLS pod 인증서(beta)가 즉시 프로덕션에 사용하기 가장 안전합니다. 알파 기능은 베타가 될 때까지 스테이징에 두어야 합니다. |
| 사용자 네임스페이스가 모든 스토리지 드라이버와 작동하나요? | 아직은 아닙니다. 일부 CSI 드라이버와 hostPath 마운트에 문제가 있습니다. 배포 전에 충분히 테스트하세요. |
| 강력한 이미지 풀 인증이 CI/CD 파이프라인을 깨뜨릴까요? | 가능성이 있습니다. 파이프라인이 적절한 레지스트리 자격 증명 없이 캐시된 이미지를 사용한다면 문제가 될 수 있습니다. 이는 실제로 수정해야 할 보안 버그입니다. |
| 이 알파 기능들이 언제 안정화되나요? | 역사적으로는 Kubernetes 1.36/1.37(2026년 중반)에서 알파 → 베타, 2026년 말 또는 2027년 초에 베타 → 안정화가 될 것으로 예상됩니다. |
The Bottom Line
Kubernetes 1.35는 단순한 버전 업데이트가 아니라 보안 전환점입니다. 사용자 네임스페이스가 베타에 도달하고, mTLS pod 인증서와 강력한 이미지‑pull 권한 부여가 실제 운영 클러스터에서 수년간 문제였던 공격 벡터를 해결합니다.
Message: Kubernetes 보안이 기본 RBAC와 네트워크 정책을 넘어 성숙해 가고 있습니다. 방어‑심층이 이제 플랫폼에 내재화되고 있습니다.
오늘 바로 베타 기능을 테스트하고, 알파 기능을 계획하며, 클러스터를 위협 환경보다 앞서게 유지하세요.
# Kubernetes 1.35 Security Features: Proactive Hardening
*“Security isn’t a bolt‑on; it’s built into the platform.”*
DevSecOps teams have two choices:
1. **Start testing these features in staging today**, or
2. **Explain to your CISO in six months** why your cluster's security posture is falling behind industry standards.
The tooling is here. The vulnerabilities are known. The only question is whether you'll adopt these hardening measures **proactively** or **reactively after an incident**.
---실행 계획
- 업그레이드 to Kubernetes 1.35.
- 테스트 새로운 보안 기능을 스테이징 환경에서.
- 강화 테스트 결과를 기반으로 클러스터를.
- 반복 사이클을 지속적으로.
시작하기
- 현재 보안 상태를 감사하십시오.
- 특정 위협 모델에 대해 가장 큰 위험 감소를 제공하는 기능을 식별하십시오.
- 선택한 기능을 프로덕션에 구현하십시오.
보안은 체크리스트가 아니라 지속적인 진화입니다.
최신 정보 유지
더 많은 정보를 보려면 팔로우하세요:
- Kubernetes 보안 인사이트
- DevOps 모범 사례
- 클라우드 인프라 심층 탐구