Kubernetes 도입의 폭발적인 증가와 함께, 컨테이너 네트워크 인터페이스(Container Network Interfaces, CNIs)는 컨테이너 네트워크를 구성하고 보안을 강화하는 데 있어 핵심 구성요소가 되었지만, 이들의 보안 역량과 성능에 대한 종합적인 분석은 현저히 부족한 실정이다. 본 연구는 클라우드 네이티브 환경에서 Kubernetes를 대상으로 주요 CNI 플러그인(Cilium, Calico, WeaveNet, Kube-router, Antrea)을 대상으로 광범위한 평가를 수행함으로써 포괄적인 보안 분석을 실시한다. 구체적으로 Layer 3/4 정책 처리, 정책 복잡도 스케일링, 파드(pod) 확장성, 그리고 Layer 7 정책 처리에 대한 분석을 포함한다. 실험 결과에 따르면 eBPF 기반 Cilium은 복잡한 L3/4 정책 하에서 8.9K Mbps 처리량을 유지하나, L7 처리에서는 94 Mbps로 감소한다. 반면 Antrea는 HTTP 필터링을 통한 L7에서 6.6K Mbps를 달성했으며, 정책 복잡도가 증가함에 따라 성능이 저하된다. 높은 동시 파드 부하에서는 iptables 기반 CNIs가 처리량에서 60–70%의 감소를 보인 반면, Cilium은 기준 성능 대비 10% 이내에서 성능을 유지한다. 이러한 결과는 아키텍처 선택과 보안 역량 간의 핵심적인 트레이드오프를 드러내며, 클라우드 네이티브 환경에서의 특정 운영 및 보안 요구사항에 기반한 CNI 선택을 위한 실질적 지침을 제공한다.

서버리스 환경은 자동 확장성, 비용 효율성, 운영의 용이성으로 인해 클라우드 컴퓨팅의 새로운 패러다임으로 빠르게 부상하고 있다. 그러나 IAM 기반 권한 관리와 이벤트 구동 실행 메커니즘은 보안 취약성을 유발할 수 있다. 특히, 복잡한 기능 간 호출 관계는 권한 남용 및 이벤트 호출 조건 악용과 같은 공격에 시스템을 노출시키며, 이러한 공격은 런타임에서 동적으로 발생하는 경우가 많아 정적 방어만으로는 대응하기 어렵다. 기존 정적 분석 방법들은 이러한 위험을 완화하려 시도하지만, 본질적으로 런타임에 발생하는 동적 공격을 포착하는 데 한계가 있다. 본 논문에서는 서버리스 환경을 위한 동적 보안 프레임워크인 BAMBDA를 제안하며, 이를 통해 권한 남용 및 연쇄 함수 호출 공격을 방지한다. BAMBDA는 중앙 집중형 로깅과 애플리케이션별 로그 그룹에 기반한 자동 코드 주입을 통해 실시간 함수 호출 검증을 수행한다. 구체적으로, 직접 호출, 이벤트 구동 호출, API 호출을 구분하는 다단계 검증 과정을 도입하여, 개발자로부터 추가적인 보안 설정을 요구하지 않으면서도 무단 공격을 효과적으로 차단한다. AWS Lambda 환경에서 수행한 실험 결과, BAMBDA는 권한 남용 및 연쇄 함수 호출 공격에 대해 효과적으로 방어함을 입증하였으며, 웜 스타트 조건에서 성능 오버헤드 8.12% 수준으로 실용적인 배포가 가능하였다.

사물인터넷(IoT) 기기들은 수십억 명의 사람들의 일상생활에 깊이 뿌리내리게 되었으며, IoT 기기를 대상으로 하는 보안 위협이 빠르게 대두되고 있다. 이에 따라 IoT 벤더들은 제품을 출시하기 전에 IoT 기기를 점검하기 위한 보안 테스트 프레임워크를 활용해 왔다. 그러나 기존 프레임워크는 새로운 기기와 관련된 입력 형식에 대한 정보가 부족하다는 이유로, 새로운 기기를 지원하기 위해 상당한 수준의 수작업 노력이 필요하므로 자동화된 테스트를 제공하는 데 어려움이 있다. 이러한 문제를 해결하기 위해 본 연구에서는, 특정 IoT 기기에 대해 공개적으로 접근 가능한 API 문서를 기반으로 이를 자동으로 분석하고 각 기능을 호출하는 데 사용되는 유효 입력을 포함한 정보를 추출하도록 설계된 문서 기반 블랙박스 IoT 테스트 프레임워크 FUZZDOCS를 제안한다. 추출된 정보를 바탕으로, FUZZDOCS는 대상 기기에서 쉽게 거부되지 않으면서도 그 내부 깊은 곳에 있는 취약점을 유발할 수 있는 “충분히 유효한” 테스트 입력을 생성한다. 문서 기반 입력 생성 방식은 수작업 없이도 FUZZDOCS가 새로운 기기를 지원할 수 있게 하며, 동시에 효과적인 보안 테스트를 제공한다. 타당성을 입증하기 위해 실제 환경의 IoT 환경에서 FUZZDOCS를 평가하였고, 그 결과 문서 수백 페이지로부터 입력 형식을 93%의 정확도로 추출함을 확인하였다. 또한 FUZZDOCS는 기존 프레임워크에 비해 테스트 커버리지에서 우수한 성능을 보였으며, 다섯 가지의 널리 사용되는 IoT 기기에서 예상치 못한 시스템 실패 2건을 포함하여 35개의 잠재적 취약점을 발견하였다.

Kubernetes 도입의 폭발적인 증가와 함께, 컨테이너 네트워크 인터페이스(Container Network Interfaces, CNIs)는 컨테이너 네트워크를 구성하고 보안을 강화하는 데 있어 핵심 구성요소가 되었지만, 이들의 보안 역량과 성능에 대한 종합적인 분석은 현저히 부족한 실정이다. 본 연구는 클라우드 네이티브 환경에서 Kubernetes를 대상으로 주요 CNI 플러그인(Cilium, Calico, WeaveNet, Kube-router, Antrea)을 대상으로 광범위한 평가를 수행함으로써 포괄적인 보안 분석을 실시한다. 구체적으로 Layer 3/4 정책 처리, 정책 복잡도 스케일링, 파드(pod) 확장성, 그리고 Layer 7 정책 처리에 대한 분석을 포함한다. 실험 결과에 따르면 eBPF 기반 Cilium은 복잡한 L3/4 정책 하에서 8.9K Mbps 처리량을 유지하나, L7 처리에서는 94 Mbps로 감소한다. 반면 Antrea는 HTTP 필터링을 통한 L7에서 6.6K Mbps를 달성했으며, 정책 복잡도가 증가함에 따라 성능이 저하된다. 높은 동시 파드 부하에서는 iptables 기반 CNIs가 처리량에서 60–70%의 감소를 보인 반면, Cilium은 기준 성능 대비 10% 이내에서 성능을 유지한다. 이러한 결과는 아키텍처 선택과 보안 역량 간의 핵심적인 트레이드오프를 드러내며, 클라우드 네이티브 환경에서의 특정 운영 및 보안 요구사항에 기반한 CNI 선택을 위한 실질적 지침을 제공한다.

서버리스 환경은 자동 확장성, 비용 효율성, 운영의 용이성으로 인해 클라우드 컴퓨팅의 새로운 패러다임으로 빠르게 부상하고 있다. 그러나 IAM 기반 권한 관리와 이벤트 구동 실행 메커니즘은 보안 취약성을 유발할 수 있다. 특히, 복잡한 기능 간 호출 관계는 권한 남용 및 이벤트 호출 조건 악용과 같은 공격에 시스템을 노출시키며, 이러한 공격은 런타임에서 동적으로 발생하는 경우가 많아 정적 방어만으로는 대응하기 어렵다. 기존 정적 분석 방법들은 이러한 위험을 완화하려 시도하지만, 본질적으로 런타임에 발생하는 동적 공격을 포착하는 데 한계가 있다. 본 논문에서는 서버리스 환경을 위한 동적 보안 프레임워크인 BAMBDA를 제안하며, 이를 통해 권한 남용 및 연쇄 함수 호출 공격을 방지한다. BAMBDA는 중앙 집중형 로깅과 애플리케이션별 로그 그룹에 기반한 자동 코드 주입을 통해 실시간 함수 호출 검증을 수행한다. 구체적으로, 직접 호출, 이벤트 구동 호출, API 호출을 구분하는 다단계 검증 과정을 도입하여, 개발자로부터 추가적인 보안 설정을 요구하지 않으면서도 무단 공격을 효과적으로 차단한다. AWS Lambda 환경에서 수행한 실험 결과, BAMBDA는 권한 남용 및 연쇄 함수 호출 공격에 대해 효과적으로 방어함을 입증하였으며, 웜 스타트 조건에서 성능 오버헤드 8.12% 수준으로 실용적인 배포가 가능하였다.

사물인터넷(IoT) 기기들은 수십억 명의 사람들의 일상생활에 깊이 뿌리내리게 되었으며, IoT 기기를 대상으로 하는 보안 위협이 빠르게 대두되고 있다. 이에 따라 IoT 벤더들은 제품을 출시하기 전에 IoT 기기를 점검하기 위한 보안 테스트 프레임워크를 활용해 왔다. 그러나 기존 프레임워크는 새로운 기기와 관련된 입력 형식에 대한 정보가 부족하다는 이유로, 새로운 기기를 지원하기 위해 상당한 수준의 수작업 노력이 필요하므로 자동화된 테스트를 제공하는 데 어려움이 있다. 이러한 문제를 해결하기 위해 본 연구에서는, 특정 IoT 기기에 대해 공개적으로 접근 가능한 API 문서를 기반으로 이를 자동으로 분석하고 각 기능을 호출하는 데 사용되는 유효 입력을 포함한 정보를 추출하도록 설계된 문서 기반 블랙박스 IoT 테스트 프레임워크 FUZZDOCS를 제안한다. 추출된 정보를 바탕으로, FUZZDOCS는 대상 기기에서 쉽게 거부되지 않으면서도 그 내부 깊은 곳에 있는 취약점을 유발할 수 있는 “충분히 유효한” 테스트 입력을 생성한다. 문서 기반 입력 생성 방식은 수작업 없이도 FUZZDOCS가 새로운 기기를 지원할 수 있게 하며, 동시에 효과적인 보안 테스트를 제공한다. 타당성을 입증하기 위해 실제 환경의 IoT 환경에서 FUZZDOCS를 평가하였고, 그 결과 문서 수백 페이지로부터 입력 형식을 93%의 정확도로 추출함을 확인하였다. 또한 FUZZDOCS는 기존 프레임워크에 비해 테스트 커버리지에서 우수한 성능을 보였으며, 다섯 가지의 널리 사용되는 IoT 기기에서 예상치 못한 시스템 실패 2건을 포함하여 35개의 잠재적 취약점을 발견하였다.

소프트웨어 정의 네트워킹(Software-Defined Networking, SDN)은 프로그래밍 가능하고 확장 가능한 제어 평면 덕분에 데이터 센터 네트워크, 통신 사업자 및 기업 분야에서 공격적으로 성장해 왔다. 또한 SDN의 성장과 더불어 SDN 구성 요소의 보안에 관한 많은 연구가 수행되어 왔다. 그중 일부는 SDN에서 네트워크 신뢰성과 보안에 심각한 영향을 줄 수 있는 네트워크 정책 불일치 문제를 점검하였다. 그러나 이러한 연구들은 SDN 구성 요소들 사이 및 구성 요소 내부에서 처리되는 과정 중에 단일 네트워크 정책 자체가 훼손될 수 있는지 여부를 고려하지 않았다. 본 논문에서는 따라서 SDN 스택이 해당 구성 요소들 사이에서 정책 불일치가 발생하는 것을 방지하지 못하는 경우를 자동으로 식별하는 방법에 관한 문제에 초점을 맞춘다. 이어서 우리는 가장 널리 사용되는 SDN 프로토콜인 OpenFlow 네트워크에서 정책 불일치가 발생할 수 있는 테스트 케이스를 구성하도록 설계된 자동 퍼즈 테스팅 프레임워크인 AudiSDN을 제시한다. 그 타당성을 입증하기 위해 AudiSDN을 널리 사용되는 두 가지 SDN 컨트롤러인 Floodlight와 ONOS에 적용하였고, SDN 구성 요소들 사이에서 네트워크 정책 불일치를 유발하는 세 가지 별도의 CVE(Common Vulnerabilities and Exposures)를 발견하였다. 또한 우리는 이러한 불일치를 초래하는 현대 SDN 구성 요소들의 설계 결함을 조사하고, 이러한 심각하지만 상대적으로 연구가 부족한 실무적 우려를 해결하기 위한 구체적인 검증 방안을 제안한다.

Kubernetes 기반 마이크로서비스 아키텍처는 유연성, 확장성 및 다양한 활용 사례를 제공함으로써 현대의 클라우드 네이티브 환경에서 핵심적인 위치를 차지한다. 이들의 대규모이자 복잡한 배포 특성으로 인해 잠재적 위협을 탐지하기 위한 감사(auditing)가 중요하다. 이러한 요구를 충족하기 위해, 여러 eBPF(extended Berkeley Packet Filter) 기반 보안 도구(ESSTs)들이 개발되었으며, eBPF를 활용하여 Kubernetes 환경에서 프로세스 및 네트워크 활동을 모니터링하고 의심스러운 이벤트를 로깅하며 보안 정책을 강제한다. 그러나 관리자들은 포괄적인 비교 분석의 부재로 인해 가장 적합한 ESST를 선택하는 데 어려움을 겪는 경우가 많다. 본 논문에서는 널리 사용되는 4가지 ESST—KubeArmor, Falco, Tetragon, Tracee—를 대상으로, 이들의 내부 아키텍처, 감사(auditing) 기능, 전반적인 성능, 그리고 실제 적용에서의 사례 연구를 중심으로 심층 평가를 수행한다. 우리의 분석 결과를 바탕으로, 관리자가 자신의 요구에 맞는 적절한 ESST를 선택하는 데 도움이 되는 핵심 통찰을 제공한다. 본 연구는 ESST에 대한 이해를 증진시키며, 보다 안전하고 고성능인 클라우드 네이티브 환경의 발전에 기여할 것으로 기대한다.

클라우드 환경의 신속한 도입으로 인해 컨테이너 기술은 대규모 애플리케이션의 효율적 운영에 필수적인 요소가 되었다. 컨테이너 기술은 공유 호스트 운영체제를 통한 저수준 격리를 제공함으로써 높은 효율성과 확장성을 제공하지만, 동시에 컨테이너 이스케이프 및 시스템 콜 악용을 통한 권한 상승 공격과 같은 보안 취약점을 야기한다. 가장 널리 사용되는 시스템 콜 필터링 메커니즘 중 하나인 Seccomp-BPF는 컨테이너 환경을 지원하나, 컨테이너가 실행 중인 동안에는 시스템 콜 정책을 업데이트할 수 없다. 이러한 한계를 해결하기 위해, 우리는 컨테이너 런타임 중에도 중단 없이 시스템 콜 정책을 동적으로 수정할 수 있는 시스템 콜 필터링 프레임워크 KubeRosy를 제안한다. KubeRosy는 eBPF 및 LSM 훅을 활용하여 기존 Seccomp-BPF 환경과의 호환성을 보장하면서 세밀한 시스템 콜 정책을 지원한다. 이 접근은 컨테이너 환경에 맞춰 응용에 특화되고 세분화된 시스템 콜 정책을 가능하게 하며, 그 결과 공격 표면을 감소시킨다. 우리의 평가는 KubeRosy가 기존의 전통적 Seccomp-BPF에 비해 추가 오버헤드가 단 722 ns에 불과하며, 이는 무시할 수 있을 정도임을 보여준다. 또한 KubeRosy는 컨테이너 중단 없이 정책을 동적으로 수정할 수 있고, 인자 기반의 정밀한 필터링을 제공함으로써 실용성과 효율성을 입증한다.

봇넷 공격의 규모는 증가하고 있으나, 전통적인 네트워크 보안 시스템은 주로 높은 오탐률과 분석에 필요한 광범위한 인력 때문에 이러한 위협에 효과적으로 대응하기에 부적절하다. 이에 반해, 침입 탐지의 최신 방법인 프로비넌스(provenance) 기반 분석은 호스트 이벤트들 사이의 인과관계를 설정함으로써 면밀한 검사를 가능하게 하는 새로운 패러다임을 제공한다. 그럼에도 불구하고, 이 방법은 공격에 관한 핵심 정보가 존재하는 네트워크 패킷의 페이로드(payload)를 분석하는 데 있어, 패킷 검사로 인한 성능 효율 제약 때문에 어려움이 있다. 이러한 과제를 해결하기 위해, 우리는 네트워크 패킷의 페이로드 검사를 프로비넌스 기반 분석과 통합하여 봇넷 침입 탐지 및 대응을 향상시키는 선도적 접근인 BotFence를 제안한다. 특히, 본 시스템은 네트워크 성능에 미치는 영향을 최소화하기 위해 SmartNICs를 활용한다. 본 시스템은 우선 호스트 시스템 내의 이벤트를 수집하고 분석하여 이를 전술, 기술 및 절차(Tactics, Techniques, and Procedures; TTP)로 표현한다. 동시에, 해당 이벤트와 연관된 네트워크 패킷을 수집하고 면밀히 조사하며, 수집된 네트워크 데이터와 이들 TTP 간의 관계를 우리가 고안한 네트워크 강화 위협 프로비넌스 그래프(Network-enhanced Threat Provenance Graph; NTPG) 모델에 통합한다. 그 결과, 본 시스템은 최소한의 오버헤드로 네트워크에 대한 포괄적인 보안 분석을 제공한다. 복잡한 공격 시나리오를 대상으로 한 시연 결과, BotFence는 네트워크 성능 저하 없이 실시간으로 자동화된 봇넷 감염을 성공적으로 식별하고 완화했으며, 호스트 이벤트의 99.9% 이상을 1 ms 내에 분석하였다.