클라우드 환경의 신속한 도입으로 인해 컨테이너 기술은 대규모 애플리케이션의 효율적 운영에 필수적인 요소가 되었다. 컨테이너 기술은 공유 호스트 운영체제를 통한 저수준 격리를 제공함으로써 높은 효율성과 확장성을 제공하지만, 동시에 컨테이너 이스케이프 및 시스템 콜 악용을 통한 권한 상승 공격과 같은 보안 취약점을 야기한다. 가장 널리 사용되는 시스템 콜 필터링 메커니즘 중 하나인 Seccomp-BPF는 컨테이너 환경을 지원하나, 컨테이너가 실행 중인 동안에는 시스템 콜 정책을 업데이트할 수 없다. 이러한 한계를 해결하기 위해, 우리는 컨테이너 런타임 중에도 중단 없이 시스템 콜 정책을 동적으로 수정할 수 있는 시스템 콜 필터링 프레임워크 KubeRosy를 제안한다. KubeRosy는 eBPF 및 LSM 훅을 활용하여 기존 Seccomp-BPF 환경과의 호환성을 보장하면서 세밀한 시스템 콜 정책을 지원한다. 이 접근은 컨테이너 환경에 맞춰 응용에 특화되고 세분화된 시스템 콜 정책을 가능하게 하며, 그 결과 공격 표면을 감소시킨다. 우리의 평가는 KubeRosy가 기존의 전통적 Seccomp-BPF에 비해 추가 오버헤드가 단 722 ns에 불과하며, 이는 무시할 수 있을 정도임을 보여준다. 또한 KubeRosy는 컨테이너 중단 없이 정책을 동적으로 수정할 수 있고, 인자 기반의 정밀한 필터링을 제공함으로써 실용성과 효율성을 입증한다.

*본 초록은 AI를 통해 원문을 번역한 내용입니다. 정확한 내용은 하기 원문에서 확인해주세요.