search

런타임 보안

지원 버전: Falco 0.39+, Tetragon 1.2+, Kubernetes 1.31, 1.32, 1.33 마지막 업데이트: 2026년 2월 22일

런타임 보안은 컨테이너가 실행되는 동안 악성 활동과 비정상적인 동작을 탐지하고 대응하는 것입니다. 이 문서에서는 Falco와 Tetragon을 중심으로 런타임 보안 전략을 다룹니다.

hashtag
목차

  1. 런타임 위협 환경

  2. Falco

  3. Tetragon

  4. Falco vs Tetragon 비교

  5. Kubernetes 감사 로깅

  6. 런타임 위협 탐지 패턴

  7. 인시던트 대응

  8. SIEM/SOAR 통합

hashtag
런타임 위협 환경

hashtag
컨테이너 런타임 위협

┌─────────────────────────────────────────────────────────────────────────┐
│                    컨테이너 런타임 위협 유형                              │
│                                                                         │
│  ┌─────────────────────────────────────────────────────────────────┐   │
│  │                      공격 벡터                                   │   │
│  │                                                                  │   │
│  │  ┌───────────┐  ┌───────────┐  ┌───────────┐  ┌───────────┐   │   │
│  │  │ 취약점    │  │ 잘못된   │  │ 악성      │  │ 공급망    │   │   │
│  │  │ 익스플로잇│  │ 설정     │  │ 이미지    │  │ 공격      │   │   │
│  │  └─────┬─────┘  └─────┬─────┘  └─────┬─────┘  └─────┬─────┘   │   │
│  │        │              │              │              │          │   │
│  │        └──────────────┴──────────────┴──────────────┘          │   │
│  │                              │                                  │   │
│  │                              ▼                                  │   │
│  │  ┌─────────────────────────────────────────────────────────┐   │   │
│  │  │                    런타임 위협                           │   │   │
│  │  │                                                          │   │   │
│  │  │  • 암호화폐 채굴 (Cryptomining)                         │   │   │
│  │  │  • 리버스 셸 (Reverse Shell)                            │   │   │
│  │  │  • 권한 상승 (Privilege Escalation)                     │   │   │
│  │  │  • 컨테이너 탈출 (Container Escape)                     │   │   │
│  │  │  • 데이터 유출 (Data Exfiltration)                      │   │   │
│  │  │  • 측면 이동 (Lateral Movement)                         │   │   │
│  │  │  • 지속성 확보 (Persistence)                            │   │   │
│  │  └─────────────────────────────────────────────────────────┘   │   │
│  └─────────────────────────────────────────────────────────────────┘   │
└─────────────────────────────────────────────────────────────────────────┘

hashtag
탐지 기술

기술
설명
장점
단점

시스콜 모니터링

커널 시스템 콜 추적

상세한 가시성

오버헤드

eBPF

커널 레벨 프로그래밍

고성능, 안전

복잡한 구현

감사 로그

K8s API 호출 기록

컴플라이언스

런타임 가시성 제한

네트워크 모니터링

트래픽 패턴 분석

측면 이동 탐지

암호화 트래픽

hashtag
Falco

hashtag
Falco 개요

Falco는 클라우드 네이티브 런타임 보안 도구로, 시스템 콜을 분석하여 비정상적인 동작을 탐지합니다.

hashtag
Falco 설치 (EKS)

hashtag
Falco 규칙 구조

hashtag
기본 제공 규칙 예시

hashtag
커스텀 규칙 작성

hashtag
Falco 알림 설정

hashtag
Tetragon

hashtag
Tetragon 개요

Tetragon은 Cilium 프로젝트의 eBPF 기반 보안 관찰성 및 런타임 강제 도구입니다.

hashtag
Tetragon 설치

hashtag
TracingPolicy 기본 구조

hashtag
프로세스 모니터링

hashtag
파일 접근 모니터링

hashtag
네트워크 모니터링

hashtag
런타임 강제 (Enforcement)

hashtag
Tetragon CLI 사용

hashtag
Falco vs Tetragon 비교

hashtag
기능 비교표

기능
Falco
Tetragon

기술 기반

커널 모듈/eBPF

eBPF 전용

성능

좋음

매우 좋음

규칙 언어

YAML + 조건식

CRD (TracingPolicy)

런타임 강제

제한적

네이티브 지원

Kubernetes 통합

좋음

매우 좋음 (Cilium)

프로세스 추적

파일 모니터링

네트워크 모니터링

제한적

✓ (Cilium 연계)

커뮤니티

크고 성숙함

성장 중

학습 곡선

중간

높음

알림 통합

Falcosidekick

Prometheus, gRPC

hashtag
사용 사례별 권장

hashtag
Kubernetes 감사 로깅

hashtag
감사 정책 구성

hashtag
EKS 감사 로그 분석

hashtag
런타임 위협 탐지 패턴

hashtag
암호화폐 채굴 탐지

hashtag
리버스 셸 탐지

hashtag
권한 상승 탐지

hashtag
인시던트 대응

hashtag
Pod 격리 절차

hashtag
포렌식 컨테이너 사용

hashtag
SIEM/SOAR 통합

hashtag
Falco → Elasticsearch

hashtag
Prometheus + Grafana 대시보드

hashtag
요약

런타임 보안의 핵심:

  1. Falco: 성숙한 규칙셋, 다양한 알림 통합, 탐지 중심

  2. Tetragon: eBPF 기반 고성능, 런타임 강제 지원

  3. 감사 로깅: Kubernetes API 활동 추적, 컴플라이언스

  4. 위협 탐지: 암호화폐 채굴, 리버스 셸, 권한 상승

  5. 인시던트 대응: 격리, 증거 수집, 포렌식

hashtag
권장 사항

  • 탐지와 강제를 위해 Falco + Tetragon 조합 사용

  • 중요 시스템에 커스텀 규칙 작성

  • SIEM 통합으로 중앙 집중 모니터링

  • 인시던트 대응 플레이북 준비

hashtag
참고 자료

이전컨테이너 이미지 보안다음OPA Gatekeeper

마지막 업데이트