513. 컨테이너 보안 - 이미지 스캐닝, 루트 권한 실행 금지 (Non-root user), 네임스페이스 샌드박스

핵심 인사이트 (3줄 요약)

본질: 컨테이너 보안은 "도커(Docker)는 가벼워서 편해!"라며 무지성으로 다운받아 돌리던 개발자들의 뺨을 갈기고, 컨테이너가 태어나는 순간(이미지 스캔)부터 살아 숨 쉬는 순간(Non-root), 그리고 갇혀있는 공간(Namespace 샌드박스)까지 모든 생명주기에 걸쳐 호스트 OS(커널)로 뚫고 나오는 '탈옥(Escape)'을 물리적으로 사형시키는 극한의 인프라 통제술이다.

가치: 1개의 거대 리눅스 깡통에 50개의 컨테이너를 때려 박는 현대 K8s(쿠버네티스) 시대에, 1개의 취약한 컨테이너가 털리더라도(Blast Radius 발생), 그 해커가 절대 컨테이너 껍데기를 뚫고 나와 호스트(Node) 전체와 나머지 49개의 컨테이너를 학살하는 연쇄 대재앙을 완벽하게 끊어내는 '격벽(Isolation) 아키텍처'의 승리를 보장한다.

융합: 소스코드만 쳐다보던 SAST의 한계를 인프라 레벨로 끌어올리며, **SCA(오픈소스 스캐너)**와 결합된 Trivy/Clair 이미지 스캐닝 파이프라인, 그리고 데브옵스의 K8s 보안 컨텍스트(Security Context & OPA Gatekeeper) 룰과 빈틈없이 융합되어 클라우드 네이티브 생존의 1티어 헌법으로 군림한다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

개념:
- 이미지 스캐닝: 도커 허브(Docker Hub)에서 다운받은 ubuntu:latest 나 nginx 깡통 안에 5년 전 털린 OpenSSL 버그(CVE 폭탄)가 숨어있는지 빌드 파이프라인에서 엑스레이로 뼛속까지 찍어 차단하는 기술.
- Non-root user (루트 실행 금지): 컨테이너 내부의 admin(root)은 밖의 리눅스 진짜 root와 100% 동일한 권한을 갖는 치명적 위험이 있다. 앱이 실행될 때 절대 왕(Root)의 옷을 입히지 않고, 권한 없는 하급 노예(User ID 1001) 옷을 강제로 입혀 탈옥 시 폭파력을 0으로 뭉개는 기술.
- 네임스페이스(Namespace) 샌드박스: 컨테이너 A가 컨테이너 B의 파일이나 프로세스를 절대 훔쳐보지 못하게, 눈과 귀를 물리적으로 가려버리는 리눅스 커널의 절대 독방(격리) 기술.
필요성: 개발자가 아무리 자바(Java) 코드를 보안 100점으로 짜서 Log4j 구멍이 없더라도, 그 코드를 감싸고 있는 껍데기(도커 우분투 이미지)의 리눅스 커널에 빵꾸가 나 있으면 아무 소용없이 1초 만에 털린다(A06 만료된 컴포넌트 참사). 컨테이너는 가상머신(VM)처럼 완전한 철벽이 아니다. 밑바닥의 심장(리눅스 커널)을 50개 컨테이너가 공유하며 핥아먹는 '얇은 비닐봉지' 구조다. 비닐봉지 1개가 뚫려 독극물(해커)이 들어왔을 때, 이 독이 커널(심장)을 타고 다른 49개의 비닐봉지로 전염되는 컨테이너 탈옥(Container Escape)을 막지 못하면 쿠버네티스 클러스터 전체가 삭제당하는 회사 멸망의 날이 도래한다.
💡 비유: 컨테이너 보안은 여객선의 **'침몰 방지 철제 격벽 3종 세트'**와 똑같습니다.
- 이미지 스캔: 배를 띄우기 전에 설계도를 엑스레이로 찍어, 구멍 뚫린 낡은 깡통 철판(취약한 베이스 이미지)을 썼는지 입구 컷 쳐내는 검사소입니다.
- Non-root 실행 금지: 선장(Root) 목걸이를 훔친 테러리스트가 조타실을 장악하지 못하게, 애초에 배 안에서는 아무 권한이 없는 '일반 선원(Non-root)' 신분증만 나눠주어 배를 폭파시킬 수조차 없게 만드는 권한 강등술입니다.
- 네임스페이스 샌드박스: 배의 밑바닥을 50개의 독립된 티타늄 방(격실)으로 완벽하게 밀폐하여, 1번 방(컨테이너)에 구멍이 나서 물(해커)이 꽉 차더라도 절대 2번, 3번 방으로 물이 번지지 않고 배(Node) 전체의 침몰을 막아내는 물리적 방수막입니다.
등장 배경 및 발전 과정:
1. VM(가상머신)의 하드웨어 격리 시대: 옛날엔 서버 1개당 OS를 통째로 올렸다(VMware). 무거웠지만 하드웨어 칩 레벨에서 완전히 찢어놔서 보안(격리)은 최고였다.
2. 도커(Docker)의 낭만과 대량 학살 (2010년대 중반): 도커가 뜨며 혁명이 일어났다. 커널 하나만 띄우고 껍데기만 씌워 돌리니 1초 만에 부팅됐다. 개발자들은 환호하며 root 권한으로 도커를 미친 듯이 띄웠고, 해커들은 Dirty COW 같은 탈옥(Escape) 기술로 서버를 통째로 요리하며 파티를 벌였다.
3. 쿠버네티스(K8s)와 OPA의 강제 통제 (현재): 털리다 지친 구글과 인프라 고인물들이 헌법을 세웠다. "앞으로 Pod(컨테이너) 띄울 때 SecurityContext: runAsNonRoot: true 옵션 안 적힌 놈은 쳐다보지도 말고 K8s 클러스터 밖으로 발로 차버려라(OPA Gatekeeper)!" 라는 완벽한 기계적 인프라 통제가 글로벌 국룰로 완성되었다.
📢 섹션 요약 비유: 가상머신(VM)은 아파트입니다. 101호와 102호 사이가 콘크리트 벽이라 도둑이 뚫기 힘듭니다. 컨테이너(Docker)는 거대한 고시원입니다. 101호와 102호 사이가 얇은 베니어합판(커널 공유)으로 되어 있어서 엄청 가볍고 싸지만, 101호에 들어온 도둑이 벽을 주먹으로 치면(탈옥) 102호로 쉽게 넘어갑니다. 이 얇은 합판의 한계를 철통같이 막아주는 3가지 감시 장치가 컨테이너 보안의 본질입니다.

Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)

1. 컨테이너 3대 방어막 아키텍처 (면접/실무 절대 국룰)

이 3가지를 뚫는 것이 해커의 로망이자, 이걸 막는 것이 아키텍트의 사명이다.

태어날 때: 이미지 스캐닝 (Trivy, Clair)
- 문제: 개발자가 도커 허브에서 FROM node:14 라고 적어 다운받아 쓴다. 그 Node 14 깡통 안에 깔린 우분투 리눅스의 curl 라이브러리에 원격 해킹 구멍(CVE)이 뚫려있는데 개발자는 눈먼 장님이다.
- 방어: 젠킨스가 빌드를 끝내고 app:v1 이미지를 만들면 배포(Run)하지 않고 대기시킨다. Trivy(스캐너 봇)가 깡통을 뜯어 OS 패키지(dpkg, rpm) 버전을 NVD 글로벌 해킹 족보와 10초 만에 1:1 대조한다. "삐용! CVSS 9.0 취약점 발견!" ➡ AWS ECR(레지스트리) 등록을 사형시키고 빌드를 폭파(Fail)시킨다.
숨 쉴 때: 루트 권한 실행 금지 (Non-root User)
- 문제: 도커의 기본 세팅은 끔찍하게도 USER root다. 만약 앱에 SQL 인젝션이 뚫려서 해커가 쉘(Shell)을 땄다. 해커가 whoami를 치면 root라고 뜬다. 컨테이너의 루트는 바깥 진짜 리눅스(Host)의 루트 권한과 맵핑되어 있어서, 해커가 컨테이너를 박살 내고 밖으로 기어 나와(Escape) 호스트 서버 전체를 삭제해 버리는 대재앙이 터진다.
- 방어: Dockerfile 맨 밑에 USER 1001 딱 한 줄을 강제로 박는다. 이제 해커가 뚫고 들어와도 일개 말단 노예(권한 없음) 신분이라 밖으로 탈출할 힘(Privilege)이 0으로 뭉개져 갇혀 죽는다.
갇혀있을 때: 네임스페이스(Namespace)와 Cgroups 샌드박스
- 문제: A 컨테이너가 B 컨테이너의 CPU를 100% 다 뺏어 먹어 B를 굶겨 죽이거나(가용성 파괴), B 컨테이너의 비밀 폴더를 들여다볼 수 있으면 망한다.
- 방어: 리눅스 커널의 절대 마법을 쓴다.
  - Namespace: 시각의 차단. A 컨테이너는 오직 자기 폴더와 자기 PID(프로세스 번호 1)만 보이게 투명막을 쳐서 남의 집을 절대 못 훔쳐보게(Isolation) 장님으로 만든다.
  - Cgroups: 위장의 차단. A 컨테이너가 쓸 수 있는 CPU는 0.5개, 메모리는 500MB로 목줄을 꽉 채워버려, 해커가 A에서 코인 채굴기(디도스)를 돌려도 B 컨테이너는 1도 타격 안 받고 평화롭게 돌아가게(Resilience) 가둬버린다.

📢 섹션 요약 비유: 이 3중 통제는 **'감옥(교도소) 시스템'**과 똑같습니다.
1. 죄수를 감옥에 넣기 전에 소지품 엑스레이를 돌려 폭탄(CVE 취약점)이 있는지 검사합니다(이미지 스캐닝).
2. 죄수에게 사복(Root 권한)을 뺏고 오직 죄수복(Non-root 1001)만 입혀서, 밖으로 나가도 경찰이 바로 잡을 수 있게 힘을 뺍니다.
3. 죄수를 감방(Namespace)에 독방으로 가두어 옆방 죄수와 대화를 못 하게 눈과 귀를 가리고, 하루에 밥(Cgroups CPU) 딱 3끼만 줘서 폭동을 일으킬 체력을 원천적으로 말라 죽이는 완벽한 통치술입니다.

Ⅲ. 융합 비교 및 다각도 분석

1. 보안 스캐너 3형제 (SAST vs SCA vs Container Scanning)

도대체 뭘 검사하는 건지 헷갈리는 주니어들의 뇌 구조를 리셋시키는 비교표.

척도	1. SAST (정적 분석)	2. SCA (오픈소스 분석)	3. Container Scanning (이미지 스캐닝) 👑
검사 타겟	내가 타이핑한 `User.java` 파일	내가 다운받은 `pom.xml (Spring Boot)`	내 앱을 통째로 감싸는 `Ubuntu OS (apt-get)`
찾아내는 구멍	SQL 인젝션, XSS 쌩코딩	Log4j, Jackson 취약점 (CVE)	OpenSSL, Bash 쉘, 리눅스 커널 취약점 (CVE)
해결 방법	코드를 지우고 다시 예쁘게 짬	`pom.xml`에 적힌 버전 숫자 1 올림	`Dockerfile`의 `FROM node:14` 를 `16`으로 올림
아키텍트 관점	"내 머릿속의 논리적 멍청함을 잡아줌"	"내 뱃속의 오픈소스 곰팡이를 잡아줌"	"내가 입고 있는 인프라 갑옷의 찢어짐을 잡아줌"

과목 융합 관점

운영체제 / 인프라 (Privileged Container 금지의 헌법): 도커를 띄울 때 --privileged 옵션을 달아버리면 악마를 소환하는 짓이다. 이 옵션은 컨테이너 안의 해커에게 바깥 호스트 리눅스의 모든 커널 장치(USB, 하드디스크 마운트) 권한을 프리패스로 다이렉트로 바치는 '자살 버튼'이다. 아키텍트는 쿠버네티스 클러스터를 세팅할 때, OPA(Open Policy Agent)나 Pod Security Admission(PSA) 컨트롤러를 문지기로 세워, "privileged: true"라고 적힌 yaml 덩어리가 날아오면 1초 만에 찢어버리고 배포를 컷오프(Deny)하는 완벽한 중앙 통제 헌법을 세워야만 커널(OS) 단의 대학살을 막을 수 있다.
네트워크 (K8s Network Policy - L4 마이크로 세그멘테이션): 네임스페이스로 격리해도, A 파드가 B 파드로 핑(Ping)을 쏘면 기본적으로 다 열려있다(Flat Network). 해커가 A 파드를 먹으면 B 파드를 찌르는 횡적 이동(Lateral Movement)에 날개가 달린다. 데브옵스 아키텍트는 NetworkPolicy 라는 인프라 방화벽을 융합시켜야 한다. "A 파드(웹)는 오직 C 파드(DB)의 3306 포트로만 나갈 수 있고, 나머지 수백 개 파드로 가는 길은 모조리 썰어버린다(Default Deny All)!"는 극단적인 핀셋 네트워크 격리를 걸어둬야(제로 트러스트), 해커가 컨테이너 하나를 따고 들어와도 거미줄에 걸려 한 발짝도 못 움직이고 말라 죽는다.
📢 섹션 요약 비유: SAST가 **'내장 비만 검사'**고 SCA가 **'먹은 음식 식중독 검사'**라면, 컨테이너 이미지 스캔은 **'내가 입은 방탄조끼(OS)가 뚫렸는지 검사'**하는 것입니다. 3가지 검사를 다 합쳐야만(DevSecOps) 전쟁터에 나갈 수 있습니다. 방탄조끼(컨테이너)가 완벽하다고 해도, --privileged (자살 버튼) 옵션을 켜는 것은 방탄조끼 정중앙에 과녁을 그리고 "여기 심장 있으니 쏘세요"라고 지퍼를 열어젖히는 가장 멍청한 만행입니다.

Ⅳ. 실무 적용 및 기술사적 판단

실무 시나리오

시나리오 — Alpine vs Scratch 이미지: 쓸데없는 살집이 부른 CVE 폭탄의 저주: 주니어 개발자가 Node.js 서버를 띄울 때 인터넷에서 본 대로 FROM ubuntu:latest (무려 200MB)를 썼다. 이미지 스캐너(Trivy)를 돌렸더니 CVE 취약점이 300개나 쏟아지며 빌드가 터졌다. 개발자는 "이거 내 코드 버그 아닌데 OS 버그를 내가 어떻게 다 고쳐!"라며 울부짖었다.
- 아키텍트의 해결책: 공격 표면적(Attack Surface) 최소화 설계의 실패다. 웹 서버 띄우는 데 거대한 우분투 OS(Bash 쉘, wget, apt 등 수천 개 잡동사니 탑재)는 100% 사치이자 해커의 놀이터다. 아키텍트는 베이스 이미지를 5MB짜리 **Alpine Linux**로 강제 교체하거나, 아예 OS 껍데기조차 없는 순수 무의 공간인 Distroless / Scratch 이미지로 다이어트를 시켜야 한다. 껍데기(OS 패키지) 자체를 날려버리면 스캐너가 잡을 취약점 300개가 0개로 증발(Zero CVE)해 버리고, 해커가 뚫고 들어와도 리눅스 명령어(ls, cd) 자체가 아예 지워져 있어서 아무 짓도 못 하고 멍청하게 서 있게 만드는 공격 표면 멸망(Surface Eradication) 아키텍처의 승리다.
시나리오 — 루트(Root) 권한의 탈옥(Container Escape) 참사: 데이터 엔지니어가 "파일 권한 귀찮아요~" 라며 도커 파일을 USER root로 냅두고 호스트의 /var/log 디렉토리를 통째로 볼륨 마운트(Volume Mount)해서 배포했다. 해커가 이 컨테이너의 아파치 서버 취약점을 뚫고 들어와 쉘(Shell)을 땄다. 해커는 자신감이 넘쳤다(Root니까). 호스트에서 마운트된 /var/log 디렉토리를 타고 밖으로 기어 나가(Escape), 진짜 리눅스 호스트 머신의 핵심 SSH 키를 조작하여 물리 서버 100대를 통째로 장악하는 컨테이너 파멸의 날을 장식했다.
- 아키텍트의 해결책: 권한의 수직적, 공간적 분리(Decoupling) 실패다. 도커의 root는 진짜 root다. 아키텍트는 2가지를 멱살 잡고 린터에 박아야 한다. 1) Dockerfile 맨 밑에 USER 1001 (일반 유저) 강제화. 2) 그래도 불안하면 쿠버네티스의 SecurityContext: readOnlyRootFilesystem: true 옵션을 달아버린다. 해커가 들어와서 권한 상승을 시도하려 해도, 파일 시스템 전체가 CD-ROM처럼 꽁꽁 얼어붙어(읽기 전용) 해커가 단 1바이트의 악성코드 파일도 디스크에 내려받거나(Write) 실행할 수 없게 물리적으로 질식시켜버리는 철통 방어를 전개해야 한다.

도입 체크리스트

비즈니스적: 멀티 스테이지 빌드(Multi-stage Build)로 배포 파일(Image)의 보안 체급을 낮췄는가? 컴파일할 때는 gcc, maven 같은 엄청 무겁고 위험한 도구들이 필요하다. 하지만 다 만들어진 최종 앱을 돌릴 때는 쟤들이 필요 없다. 이걸 한 깡통에 담아서 라이브로 배포하면 해커가 그 gcc 툴을 써서 해킹 무기를 컴파일한다. 아키텍트는 무조건 Dockerfile을 2단계로 쪼개, 앞의 깡통(Builder)에서 컴파일만 싹 끝내고 알맹이(jar 파일)만 빼낸 뒤, 뒤의 깡통(Production)에는 그 알맹이 1개만 딱 넣어서 배포(수백 MB ➡ 20MB로 다이어트)하는 멀티 스테이지 빌드를 강제하여 보안 검수 시간(Scan Time)과 인프라 요금을 획기적으로 후려쳐야 한다.
기술적: 도커 소켓(Docker.sock) 노출의 치명적 독을 막았는가? CI/CD 젠킨스가 컨테이너 안에서 또 다른 도커 이미지를 빌드(Docker-in-Docker)해야 한다고, 호스트의 심장인 /var/run/docker.sock 파일을 컨테이너 안으로 뚫어주는 미친 짓을 흔히 한다. 해커가 이 컨테이너를 털면, 저 소켓을 통해 바깥 호스트에게 "야, 나 관리자인데 악성 컨테이너 100개 더 띄워!"라고 다이렉트 명령(API)을 때릴 수 있는 최악의 백도어가 열린다. 아키텍트는 이 썩은 소켓 바인딩을 버리고, 소켓 없이도 컨테이너를 구워내는 차세대 빌더인 Kaniko 나 Buildah 기술로 인프라를 통째로 갈아치워야 사지를 보존할 수 있다.

안티패턴

"스캐너 알람 껐어요. 낡은 Base 이미지 평생 쓸래요!" (Image Rotting의 저주): Ubuntu 16.04 같은 썩어 문드러진 베이스 이미지를 "버전 올리면 내 코드 깨져서 귀찮아"라며 5년째 스캐너 알람을 끄고(Ignore) 쓰는 안티패턴. (A06 만료된 컴포넌트의 컨테이너 버전). 5년 치 해킹 족보(CVE) 1만 개가 쌓인 시한폭탄을 가슴에 품고 서비스하는 꼴이다. 아키텍트는 젠킨스 파이프라인에 **"베이스 이미지의 날짜가 생성된 지 30일이 넘으면 묻지도 따지지도 않고 무조건 빌드 Fail 폭파!"**라는 시한부 컷오프(Time-based Threshold) 룰을 걸어, 개발자들이 강제로 정기적인 최신 이미지 판올림(Rebuild) 고통을 수용하게 조직을 개조해야 한다.
📢 섹션 요약 비유: 낡은 도커 이미지를 방치하는 것은, **'우유갑(컨테이너) 안에 들어있는 상한 우유(베이스 OS)를 안 버리고, 그 위에 계속 신선한 딸기 시럽(새로운 코드)만 타서 파는 짓'**과 같습니다. 딸기 시럽을 1,000번 바꿔봤자 손님은 상한 우유 때문에 식중독에 걸려 죽습니다. 완벽한 DevSecOps는 시럽을 바꾸는 게 아니라, 매일 아침 우유갑 전체를 버리고 갓 짠 신선한 100% 무균 우유(최신 갱신된 깡통 이미지)에 코드를 타서 배포하는 '매일매일 새 깡통 갈아 끼우기(Immutable Infrastructure)' 혁명입니다.

Ⅴ. 기대효과 및 결론

정량/정성 기대효과

구분	루트(root) 권한 방치 및 무지성 무거운 베이스 이미지 (AS-IS)	1001 Non-root 강제 및 Distroless 5MB 경량화 이미지 (TO-BE)	개선 효과
정량	컨테이너 1개 털렸을 때 Host OS 뚫고 100대 전멸 (Escape)	권한 강등 및 네임스페이스 격리로 1개만 죽고 끝남	횡적 이동 해킹 시 Blast Radius(피해 반경) 99% 무결점 축소
정량	Ubuntu 200MB 깡통 스캔 시 무의미한 OS 취약점 500개 검출	Alpine/Scratch 5MB 이미지로 군살 제거 후 취약점 0개	스캐너 오탐 분석 리소스 낭비 제로 및 CI 빌드 속도 5배 폭증
정성	"해커가 뚫고 들어오면 어떡하지?" 런타임 환경에 대한 공포	"뚫어봐야 읽기 전용(ReadOnly)에 권한 없는 바보 상태임"	컴파일 단계를 넘어서 런타임(Runtime) 환경에 대한 아키텍처 압도적 신뢰

미래 전망

eBPF 기반의 투명한 런타임 킬스위치 (Cilium, Tetragon): 기존엔 컨테이너 보안을 위해 무거운 사이드카(Sidecar)나 에이전트를 달았다. 미래엔 아예 리눅스 커널의 신(God)이라 불리는 eBPF 기술을 깐다. 컨테이너 껍데기를 전혀 건드리지 않고, 저 밑바닥 커널 바닥에서 50개의 컨테이너가 뱉어내는 모든 시스템 콜(네트워크, 파일 읽기)을 빛의 속도로 훔쳐보다가 "어? 웹 컨테이너 3번이 갑자기 /etc/shadow 비밀번호 파일을 읽네?" ➡ 0.0001초 만에 커널 멱살을 잡고 프로세스를 썰어버리는 '극강의 투명한 에이전트리스(Agentless) 런타임 보호막'이 클라우드의 최종 병기로 군림 중이다.
WASM (WebAssembly) 컨테이너의 역습: 도커 컨테이너마저도 "리눅스 커널을 공유하니까 무겁고 위험해!" 라며 까이는 시대가 오고 있다. 이제 개발자들은 아예 브라우저 안에서 빛의 속도로 돌던 WASM(웹 어셈블리) 샌드박스를 서버로 끌고 와서 Wasmtime 이라는 0.01초 만에 부팅되는 초경량 컨테이너를 띄우기 시작했다. WASM은 태생 자체가 완벽하게 갇혀있는(Default Deny) 모래상자라 호스트로 뚫고 나오는 탈옥(Escape) 자체가 수학적으로 아예 성립하지 않는 넥스트 레벨 격리 기술의 황제 자리를 엿보고 있다.

참고 표준

CIS Docker Benchmark: 미국 인터넷 보안 센터가 전 세계 데브옵스 엔지니어들에게 "도커 띄울 때 제발 이 옵션 100개 끄고 이거 켜라!"며 한 땀 한 땀 적어준 바이블. 스캐너 봇들이 서버 인프라를 채점할 때 무조건 이 족보를 대고 점수를 매긴다.
NIST SP 800-190 (Application Container Security Guide): 미국 정부가 "컨테이너 쓰다 나라 망하기 싫으면, 이미지 스캔 무조건 하고, 레지스트리 통제하고, 런타임에 깝치는 놈들 다 썰어라"고 국가 차원에서 선포한 클라우드 보안 헌법.

컨테이너 보안(이미지 스캐닝, Non-root, 샌드박스)은 소프트웨어 공학이 '개발 편의성의 달콤함(Docker)이 빚어낸 오만과 인프라 붕괴의 공포'를 기계적 통제(OPA)로 다시 멱살 잡고 끌어올린 위대한 수복(Restoration) 작전이다. 도커 1줄(docker run)의 마법에 취한 개발자들은 수억 원짜리 철통 방화벽을 우회하여 자신의 노트북에 깔려있던 썩은 우분투 OS(취약점 덩어리)를 라이브 서버 심장부로 다이렉트로 꽂아 넣는 트로이 목마의 앞잡이가 되었다. 기술사는 이 광기를 멈춰 세워야 한다. 빌드 파이프라인 한가운데 엑스레이(Trivy 스캐너)를 달아 오염된 깡통은 1초 만에 박살 내버리고, 무사히 통과한 깡통일지라도 쿠버네티스라는 절대 독재 국가의 법(SecurityContext)을 통해 왕의 옷(Root)을 벗기고 손발(읽기 전용 디스크)을 묶어버리는 자비 없는 억압을 강제해야 한다. 가장 투명한 감시와 가장 완벽한 물리적 격리(Namespace), 그것만이 수만 개의 컨테이너가 춤추는 10조 원짜리 클라우드 거대 함선을 해커의 단 1줄 스크립트로부터 수호하는 절대적인 격벽(Bulkhead) 아키텍처다.

📢 섹션 요약 비유: 컨테이너 보안은 초대형 유람선의 **'타이타닉호 침몰 방지 설계'**와 같습니다. 옛날 배(VM)는 튼튼했지만 너무 무거웠습니다. 도커(컨테이너)라는 가볍고 얇은 종이배 수만 척을 연결해 만든 초대형 배가 떴습니다. 가벼워서 날아다녔지만(편의성), 종이 1개가 젖으면 옆에 종이까지 다 젖어(탈옥, 전이) 1초 만에 가라앉습니다. 진정한 아키텍트는 종이를 쓰기 전 독성이 있는지 현미경으로 보고(이미지 스캔), 종이마다 절대 물이 안 스며드는 티타늄 코팅(Non-root)을 바르고, 각 종이배 사이를 불침투성 강철벽(네임스페이스)으로 완전히 단절시켜서, 배 한 척에 불이 나고 폭탄이 터져도 전체 유람선은 1mm도 흔들리지 않고 태평양을 건너게 만드는 극강의 조선술입니다.

📌 관련 개념 맵 (Knowledge Graph)

개념 명칭	관계 및 시너지 설명
SCA (소프트웨어 구성 분석)	이미지 스캐닝의 영혼의 파트너. SCA가 `pom.xml`에 적힌 '오픈소스'를 스캔한다면, 이미지 스캐너(Trivy)는 그걸 넘어 아예 '우분투 OS 패키지(apt-get)'까지 통째로 엑스레이 찍어주는 인프라용 거대 돋보기다. (이전 장 495번)
취약하고 낡은 요소 사용 (A06)	도커 이미지를 스캔하는 유일한 이유. 내가 짠 완벽한 자바 코드 겉에 씌워둔 '5년 전 리눅스 OS 껍데기' 때문에 해커한테 털리는 이 억울한 OWASP 6위를 박살 내는 1등 공신이다. (이전 장 483번)
권한 상승 (Elevation of Privilege - STRIDE의 E)	해커가 컨테이너를 뚫고 들어왔는데, 개발자가 멍청하게 `USER root`로 냅둬서 해커가 "오! 나 리눅스 최고 신이네?"라며 바깥 서버까지 씹어먹게 만드는 만악의 근원. 이걸 `Non-root 1001`로 깎아버리는 게 방어의 핵심. (이전 장 475번)
제로 트러스트 (Zero Trust)	"컨테이너 내부 통신은 안전하겠지!" 낭만을 부수고, A파드와 B파드 사이에도 이스티오(Istio) mTLS를 걸어 서로 쌍방향 신분증 검사를 시키는 클라우드 네이티브의 편집증적 방어 철학. (이전 장 512번 연계)
데브섹옵스 (DevSecOps)	개발자가 `git push` 치는 찰나에 도커 깡통을 빌드하고, Trivy 로봇이 1분 만에 깡통을 씹어 먹고 CVE 빨간불 뜨면 릴리즈를 엎어버리는 '인간 개입 0%'의 자동화 컨베이어 벨트.

👶 어린이를 위한 3줄 비유 설명

내가 레고로 작은 '강아지 집(컨테이너)' 50개를 만들어서 큰 거실(서버)에 놨어요. 그런데 1번 강아지 집 창문이 뚫리더니 나쁜 벌레(해커)가 들어왔어요!
벌레가 1번 집에서 나와서 거실 전체를 돌아다니며 나머지 49개 집을 다 박살 내면 안 되잖아요?(컨테이너 탈옥 대참사)
그래서 애초에 강아지 집을 만들 때 **절대 안 부서지는 유리 상자(네임스페이스 샌드박스)**를 씌우고, 집에 **독이 묻은 블록이 있는지 엑스레이 검사(이미지 스캔)**를 깐깐하게 해서 벌레가 절대 밖으로 못 나오게 가두는 완벽한 방어술을 **'컨테이너 보안'**이라고 부른답니다!