Kubernetes 도입의 폭발적인 증가와 함께, 컨테이너 네트워크 인터페이스(Container Network Interfaces, CNIs)는 컨테이너 네트워크를 구성하고 보안을 강화하는 데 있어 핵심 구성요소가 되었지만, 이들의 보안 역량과 성능에 대한 종합적인 분석은 현저히 부족한 실정이다. 본 연구는 클라우드 네이티브 환경에서 Kubernetes를 대상으로 주요 CNI 플러그인(Cilium, Calico, WeaveNet, Kube-router, Antrea)을 대상으로 광범위한 평가를 수행함으로써 포괄적인 보안 분석을 실시한다. 구체적으로 Layer 3/4 정책 처리, 정책 복잡도 스케일링, 파드(pod) 확장성, 그리고 Layer 7 정책 처리에 대한 분석을 포함한다. 실험 결과에 따르면 eBPF 기반 Cilium은 복잡한 L3/4 정책 하에서 8.9K Mbps 처리량을 유지하나, L7 처리에서는 94 Mbps로 감소한다. 반면 Antrea는 HTTP 필터링을 통한 L7에서 6.6K Mbps를 달성했으며, 정책 복잡도가 증가함에 따라 성능이 저하된다. 높은 동시 파드 부하에서는 iptables 기반 CNIs가 처리량에서 60–70%의 감소를 보인 반면, Cilium은 기준 성능 대비 10% 이내에서 성능을 유지한다. 이러한 결과는 아키텍처 선택과 보안 역량 간의 핵심적인 트레이드오프를 드러내며, 클라우드 네이티브 환경에서의 특정 운영 및 보안 요구사항에 기반한 CNI 선택을 위한 실질적 지침을 제공한다.

서버리스 환경은 자동 확장성, 비용 효율성, 운영의 용이성으로 인해 클라우드 컴퓨팅의 새로운 패러다임으로 빠르게 부상하고 있다. 그러나 IAM 기반 권한 관리와 이벤트 구동 실행 메커니즘은 보안 취약성을 유발할 수 있다. 특히, 복잡한 기능 간 호출 관계는 권한 남용 및 이벤트 호출 조건 악용과 같은 공격에 시스템을 노출시키며, 이러한 공격은 런타임에서 동적으로 발생하는 경우가 많아 정적 방어만으로는 대응하기 어렵다. 기존 정적 분석 방법들은 이러한 위험을 완화하려 시도하지만, 본질적으로 런타임에 발생하는 동적 공격을 포착하는 데 한계가 있다. 본 논문에서는 서버리스 환경을 위한 동적 보안 프레임워크인 BAMBDA를 제안하며, 이를 통해 권한 남용 및 연쇄 함수 호출 공격을 방지한다. BAMBDA는 중앙 집중형 로깅과 애플리케이션별 로그 그룹에 기반한 자동 코드 주입을 통해 실시간 함수 호출 검증을 수행한다. 구체적으로, 직접 호출, 이벤트 구동 호출, API 호출을 구분하는 다단계 검증 과정을 도입하여, 개발자로부터 추가적인 보안 설정을 요구하지 않으면서도 무단 공격을 효과적으로 차단한다. AWS Lambda 환경에서 수행한 실험 결과, BAMBDA는 권한 남용 및 연쇄 함수 호출 공격에 대해 효과적으로 방어함을 입증하였으며, 웜 스타트 조건에서 성능 오버헤드 8.12% 수준으로 실용적인 배포가 가능하였다.