공급망 신뢰의 새로운 현실: 플랫폼 네이티브 보안은 협상할 수 없는 이유
Source: Red Hat Blog
최근 고프로파일 보안 사건들은 DevSecOps 커뮤니티 내에 우려를 불러일으켰습니다. 공격자들은 이제 더 이상 여러분이 구축하는 애플리케이션만을 목표로 하지 않으며, 여러분이 이를 보호하기 위해 사용하는 도구 자체를 노리고 있습니다.
인기 있는 서드파티 보안 “액션” 및 스캐너의 서비스 계정과 버전 태그를 탈취함으로써, 위협 행위자는 보안 도구를 악성코드 전달 수단으로 전환할 수 있습니다. CI/CD 파이프라인이 보안 스캔을 트리거할 때, 코드가 분석되기 전에 클라우드 자격 증명 및 Kubernetes 토큰이 무심코 유출될 수 있습니다.
이 “보안을 누가 보호하나?”라는 역설은 중요한 아키텍처 결함을 강조합니다: 수동적인 관찰은 보호가 아닙니다. 보안 전략이 외부의 가변적인 서드파티 스크립트에 의존한다면, 여러분의 경계는 공급업체의 GitHub 계정만큼 강합니다.
네이티브 적용의 힘
Red Hat OpenShift와 Red Hat Advanced Cluster Security는 근본적으로 다른 접근 방식을 제공합니다. 시스템 및 워크로드 보안을 “외부 행동”에서 플랫폼‑네이티브 가드레일로 이동시킵니다.
공격자가 강제로 푸시할 수 있는 외부 스크립트에 의존하는 대신, OpenShift는 Kubernetes‑네이티브 어드미션 컨트롤을 사용합니다—클러스터 API에 직접 내장된 게이트입니다. 손상된 서드‑파티 도구가 악성 이미지를 주입하려고 시도하더라도, 클러스터는 사전 정의된 운영 정책에 따라 이를 거부할 수 있습니다.
Red Hat Trusted Artifact Signer로 소프트웨어 DNA 검증하기
Provenance—knowing exactly who built your code and how—is the second pillar of a resilient defense. A container image cannot be trusted based on a version tag alone, as tags are simple pointers that can be hijacked.
프로비넌스(출처 추적) — 누가 코드를 어떻게 만들었는지를 정확히 아는 것은 탄탄한 방어의 두 번째 기둥입니다. 컨테이너 이미지는 버전 태그만으로는 신뢰할 수 없습니다. 태그는 단순한 포인터에 불과하며 탈취될 수 있기 때문입니다.
Red Hat Trusted Software Supply Chain integrates with Trusted Artifact Signer to give your team a “DNA test” for software. Every image is cryptographically signed and bound to a verifiable identity at creation.
Red Hat Trusted Software Supply Chain은 Trusted Artifact Signer와 연동되어 팀에 소프트웨어 “DNA 검사”를 제공합니다. 모든 이미지는 생성 시 암호학적으로 서명되고 검증 가능한 아이덴티티와 연결됩니다.
By moving to keyless signing, you avoid long‑lived cryptographic keys that can be lost or stolen. When a pod starts, Red Hat Advanced Cluster Security performs a real‑time check to ensure the image is signed by your internal build system and remains untampered. If the “DNA” doesn’t match, the cluster stops the request instantly.
키 없는 서명(keyless signing)으로 전환하면 분실하거나 도난당할 수 있는 장기 암호키를 사용하지 않게 됩니다. 파드가 시작될 때 Red Hat Advanced Cluster Security가 실시간 검사를 수행해 이미지가 내부 빌드 시스템에 의해 서명되었고 변조되지 않았는지 확인합니다. “DNA”가 일치하지 않으면 클러스터가 즉시 요청을 차단합니다.
Source:
런타임 보호: 실시간 방어, 단순 알림이 아님
클러스터에 가장 큰 위험은 코드에만 있는 것이 아니라, 컨테이너가 실행된 후에 나타나는 “생생한” 위협입니다. 밤에 침해가 발생하면, 단순히 알림 목록을 받는 것이 아니라 플랫폼이 즉시 행동해야 합니다.
Red Hat Advanced Cluster Security는 자동화된 프로세스 탐지와 기준선 설정을 통해 “디지털 매” 역할을 합니다. 수천 개의 규칙을 일일이 작성하는 대신, 플랫폼은 애플리케이션을 관찰하여 “정상적인” 행동이 어떤 모습인지 학습합니다. 암호화 채굴기나 의심스러운 권한 상승과 같은 이상 징후가 감지되면, 플랫폼은 다음을 수행할 수 있습니다:
- 문제 식별 – 높은 정확도의 탐지로 이상 프로세스 실행을 강조 표시하여 오탐을 감소시킵니다.
- 위협 차단 – Kubernetes에 자동으로 지시해 의심스러운 파드를 종료하거나 침해된 애플리케이션을 0으로 스케일링합니다.
- 핵심 보호 – 관리자 이벤트를 모니터링해 악의적인 행동이 확산되기 전에 차단합니다.
Moving from watching to governing
방어 도구는 보호하는 소프트웨어만큼 견고해야 합니다. 보안 기능을 플랫폼 계층에 통합함으로써 Red Hat OpenShift는 방어가 외부 위험에 독립적이며 공격자가 우회하기 어렵도록 보장합니다.
이 전환은 팀이 수동 시스템 유지 관리에서 해방되어 고객 가치를 제공하는 데 집중할 수 있게 하며, 프로덕션에서 문제를 자동으로 해결하는 기본 제공 제어 기능이 이를 지원합니다.
공급망 무결성을 관리하세요
보안 도구가 주요 공격 경로가 되지 않도록 하세요. Red Hat와 함께 회복력 있고 검증 가능하며 자동화된 방어‑인‑깊이 전략을 구축하십시오.
- Secure your Kubernetes workloads: Explore the native power of Red Hat Advanced Cluster Security.
- Verify your software’s DNA: See how Red Hat Trusted Artifact Signer helps ensure image integrity from code to cluster.