쿠버네티스 도입, 보안, 시장 동향에 관한 리포트 2023

핵심 요약

쿠버네티스 보안 현황 리포트 2023년 버전에서는 컨테이너화된 워크로드와 쿠버네티스에 초점을 맞춘 클라우드 네이티브 보안에 대한 연간 설문조사에서 얻은 최신 결과를 심도 있게 살펴봅니다. 이 리포트는 대기업과 중소기업을 포괄하는 전 세계 조직의 DevOps, 엔지니어링, 보안 전문가 600명을 대상으로 실시한 설문조사를 바탕으로 작성되었습니다. 리포트에서는 클라우드 네이티브 도입 여정에서 조직이 직면하는 가장 일반적인 보안 문제와 그로 인해 비즈니스에 미치는 영향에 대해 살펴봅니다.

리포트 주요 내용

  • 응답자의 3분의 2가 쿠버네티스 보안 문제로 인해 배포가 지연되거나 속도가 저하되었다고 답했습니다.
  • 조직은 컨테이너, 쿠버네티스 보안, 컴플라이언스 인시던트로 인한 매출 손실과 벌금을 비롯하여 다양한 부정적인 영향을 경험했다고 답했습니다.
  • 대다수의 응답자가 DevSecOps 이니셔티브를 진행 중이며, 17%만이 보안을 DevOps와 별도로 운영하고 있다고 답했습니다.
  • 취약점과 구성 오류는 컨테이너 및 쿠버네티스 환경과 관련한 최우선 보안 고려 사항입니다.
  • 오픈소스 소프트웨어 사용은 소프트웨어 공급망 보안에서 중요하게 고려해야 할 사항입니다.

기업의 67%가 보안 문제로 인해 개발을 지연시키거나 속도를 늦췄습니다

Red Hat의 설문조사에 따르면 응답자 중 67%가 보안 문제로 인해 애플리케이션 개발을 지연시키거나 속도를 늦춰야 했다고 답했습니다. 일부 조직은 개발부터 배포, 유지 관리에 이르는 애플리케이션 라이프사이클의 모든 측면에 확장되는 보안 요구 사항으로 과도한 부담을 겪게 됩니다. 따라서 개발 속도를 늦추거나 운영 복잡성을 높이지 않고 컨테이너화된 애플리케이션을 보호할 수 있는 간소화된 방법이 필요합니다.

조직에서 보안을 조기에 우선순위로 고려하면 민감한 데이터, 지적 재산, 고객 정보 등과 같은 중요한 비즈니스 자산을 보호하는 데 투자하게 됩니다. 또한 규제 요구 사항을 더 효과적으로 충족하고, 비즈니스 연속성을 보장하고, 고객 신뢰를 유지할 수 있으며, 개발 라이프사이클 후반이나 이미 악용된 이후에 보안 문제를 해결하는 데 드는 장기적인 비용을 줄일 수 있습니다.  

이 리포트의 결과를 벤치마킹하여 컨테이너와 쿠버네티스 전반에 보안 제어를 적용하기 위한 노력을 가속화할 수 있는 방법을 결정하시기 바랍니다. 

차트: 컨테이너 또는 쿠버네티스 보안 문제로 인해 애플리케이션의 프로덕션 개발을 지연시키거나 속도를 늦춘 적이 있습니까? 라는 질문에 67%의 응답자가 그렇다고 답했습니다.

응답자의 37%가 컨테이너 및 쿠버네티스 보안 인시던트로 인해 매출/고객 손실을 경험했다고 답했습니다

보안 문제는 비즈니스에 심각한 영향을 미칠 수 있습니다. 응답자의 21%는 보안 인시던트로 인해 직원을 해고했으며, 25%는 조직에 벌금이 부과되었다고 답했습니다. 컨테이너와 쿠버네티스 보안 인시던트가 가져올 수 있는 또 다른 부정적인 영향은 비즈니스 성장 둔화입니다. 응답자의 37%가 컨테이너와 쿠버네티스 보안 인시던트로 매출/고객 손실을 경험했다고 답했습니다. 보안 침해가 발생하면 개발 단계에서 놓친 취약점을 해결하기 위해 보안에 무엇보다 많은 노력을 기울여야 하기 때문에 중요 프로젝트나 제품 출시가 지연될 수 있습니다. 이러한 지연은 비즈니스에 파급 효과를 불러와 매출 손실, 고객 불만족, 또는 경쟁업체에 대한 시장 점유율 손실까지도 초래할 수 있습니다. 또한 보안 인시던트가 발생할 경우 고객은 기업의 데이터 보호 역량에 대한 신뢰를 잃고 보안 능력이 더욱 탄탄하고 검증된 경쟁업체를 찾을 수 있으므로 고객 손실로 이어질 수 있습니다.

차트: 지난 12개월 동안 컨테이너/쿠버네티스 보안 또는 컴플라이언스 문제나 인시던트로 인해 비즈니스에 다음과 같은 영향을 미친 적이 있습니까? (해당 사항을 모두 선택하세요.) 가장 많은 응답은 프로젝트 지연 44%였으며, 그 다음으로 프로젝트 성공에 부정적인 영향 39%, 매출 또는 고객 손실 37%, 벌금 25%, 직원 해고 21% 순서로 나타났습니다.

대다수의 응답자가 DevSecOps 이니셔티브를 진행 중이라고 답했습니다

대다수의 조직은 DevSecOps가 별도의 프로세스라기보다는 보안을 애플리케이션 개발 라이프사이클에 구축하는 프로세스와 툴링을 포괄하는 용어라고 받아들입니다. 하지만 DevOps와 별도로 보안을 운영하는 조직의 17%는 DevSecOps 이니셔티브가 부족하기 때문에 소프트웨어 제공의 효율성, 속도, 품질 향상과 같이 SDLC에 보안을 통합하여 얻을 수 있는 장점을 놓칠 수도 있습니다.

차트: 귀사에서는 DevSecOps 이니셔티브를 진행하고 있습니까? (한 가지 답변만 선택하세요.) 45%는

취약점과 구성 오류는 컨테이너 및 쿠버네티스 환경과 관련한 최우선 보안 고려 사항입니다

응답자의 50% 이상이 고도로 커스터마이징 가능한 컨테이너와 쿠버네티스의 특성 때문에 구성 오류와 취약점을 우려하고 있습니다. 컨테이너를 운영하는 동적 환경, 공유 호스팅 운영 체제 커널과 기타 리소스, 대량의 타사 구성 요소로 인해 일관된 보안 태세를 유지하기가 어렵습니다. 이 모든 점을 종합하면, 보안 구성을 관리하고 취약점을 감지하여 완화하는 것은 특히 어려운 작업이며 설문조사 응답자들이 가장 우려하는 문제입니다. 

차트: 다음 중 귀사의 컨테이너 및 쿠버네티스 환경에서 가장 우려되는 위험 요소는 무엇입니까? 한 가지 답변만 선택하세요. 가장 많은 응답은 취약점 30%였으며, 그 다음으로 구성 오류/노출 28%, 공격 25%, 컴플라이언스 준수 실패(SOC2, PCI, HIPPA 등) 18% 순서로 나타났습니다.

오픈소스 소프트웨어 사용은 소프트웨어 공급망 보안에서 중요하게 고려해야 할 사항입니다

소프트웨어 공급망 보안은 많은 관심을 끄는 주제이며, 공급망 공격이 빠르게 늘어나고 있습니다. 설문조사 결과, 응답자들은 소프트웨어 공급망의 다양한 측면을 우려하고 있으며 소프트웨어 취약점과 오픈소스 소프트웨어 사용을 가장 큰 우려 사항으로 꼽았습니다. 소프트웨어 취약점은 데이터 침해, 맬웨어 감염, 무단 액세스 등 심각한 보안 인시던트를 초래할 수 있기 때문에 소프트웨어 취약점에 관한 우려는 이해할 만합니다. 오픈소스 소프트웨어의 사용은 소프트웨어 공급망에 보안 과제를 제시합니다. 오픈소스 소프트웨어는 현대적인 소프트웨어 개발에서 널리 사용되고 있으며, 취약점을 포함하거나 적절히 유지 관리되지 않을 경우 보안 리스크를 초래할 수 있기 때문입니다.

차트: 소프트웨어 공급망에서 가장 우려하는 측면은 무엇입니까? 해당 사항을 모두 선택하세요. 가장 많은 응답은 소프트웨어 취약점 35%였으며, 그 다음으로 오픈소스 소프트웨어 사용 32%, 내부자 위협(우발적인 상황 또는 악의적인 공격) 28%, 신뢰할 수 없는 콘텐츠 27% 순서로 나타났습니다.

보안 향상을 위한 팁에 관한 전체 리포트를 확인해 보세요

보안을 후순위로 고려하는 조직은 클라우드 네이티브 환경을 안전하게 구축, 배포, 관리하지 않음으로써 애플리케이션 개발과 출시를 가속화할 수 있는 핵심 장점을 놓치게 됩니다. 설문조사 결과에 따르면 구축 및 배포 단계에서 발생하는 일은 보안에 현저한 영향을 미치며, 이는 조직 전반에 구성 오류와 취약점이 만연해 있다는 사실로 더욱 강조되고 있습니다. 따라서 애플리케이션이 프로덕션에 배포될 무렵에 보안을 "추가"하는 것이 아니라 개발 단계에서 DevOps 워크플로우에 완벽하게 내장하여 제공해야 합니다. 

전체 설문조사 결과와 주요 시사점을 다운로드하세요.

State of Kubernetes security 2023 report