Kubestronaut 로드맵 2026 완벽 가이드 - CKA · CKAD · CKS · KCNA · KCSA와 CNCF 자격증 사다리(Prometheus · Istio · Cilium · OpenTelemetry · Argo) 심층 분석

들어가며 — 2026년 5월, Kubestronaut는 "클라우드 네이티브 졸업장"이 됐다

2024년 1월 KubeCon Paris에서 처음 발표된 Kubestronaut 프로그램은 2026년 5월 현재 전 세계 20,000명을 돌파했다. CKA, CKAD, CKS, KCNA, KCSA 다섯 자격을 모두 동시에 유효 상태로 유지하는 사람만이 받을 수 있는 이 호칭은, 2년 전만 해도 "그냥 멋진 패치"였지만 이제는 시니어 SRE/플랫폼 엔지니어 채용 공고에서 우대 사항으로 등장할 만큼 무게가 실렸다.

게다가 2025년 하반기 CNCF가 도입한 Golden Kubestronaut(모든 현존 CNCF 자격증을 한 번에 보유) 트랙과 6종 이상 어소시에이트 자격증의 라인업까지 더해지면서, 클라우드 네이티브 인증은 본격적인 "사다리"가 됐다. 이 글은 마케팅 페이지가 아니라 실제 시험 환경, 출제 패턴, 준비 시간, 그리고 연봉 임팩트까지 정직하게 정리한다.

Kubestronaut 프로그램 한눈에 — 무엇을, 왜, 어떻게

Kubestronaut 호칭은 CNCF가 운영하고 Linux Foundation이 시험을 시행하는 5종 핵심 자격증을 모두 동시에 유효 상태로 가지고 있을 때 부여된다. 자격증 하나의 유효기간은 보통 2년이며, 2026년 5월부로 모든 시험은 PSI Bridge 기반 원격 감독(Online Proctoring) 형태다.

CKA — Certified Kubernetes Administrator. 클러스터 관리자 트랙.
CKAD — Certified Kubernetes Application Developer. 앱 개발자 트랙.
CKS — Certified Kubernetes Security Specialist. 보안 트랙. CKA 선행 필수.
KCNA — Kubernetes and Cloud Native Associate. 입문 트랙.
KCSA — Kubernetes and Cloud Native Security Associate. 입문 보안 트랙.

Kubestronaut 인증자에게는 매년 1회 무료 CNCF 시험 응시권, 한정판 자켓/패치, 명예의 전당 등재, 그리고 CNCF 행사에서의 별도 라운지 입장권 등이 제공된다. 무료 응시권은 사실상 연 600 USD 상당의 가치이므로 단순 명예가 아니라 실용적 혜택이다.

자격증 사다리 — 어소시에이트, 프로페셔널, 특화

CNCF 자격증은 크게 세 단계로 나뉜다.

어소시에이트(Associate): KCNA, KCSA, PCA(Prometheus), ICA(Istio), CAPA(Cilium), OTCA(OpenTelemetry), CGOA(Argo). 90분, 객관식. 합격선 75%.
프로페셔널(Professional): CKA, CKAD, CKS. 2시간, 핸즈온 터미널. 합격선 CKA/CKAD 66%, CKS 67%.
특화(Specialty): CCSCA(Certified Cloud Security Specialist) 등 2026년에 추가된 시니어 트랙.

다음 표가 한눈에 보기 좋다.

자격증	레벨	시간	형식	합격선	응시료(USD)
KCNA	Associate	90분	객관식 60문	75%	250
KCSA	Associate	90분	객관식 60문	75%	250
PCA	Associate	90분	객관식 60문	75%	250
ICA	Associate	90분	객관식 60문	75%	250
CAPA	Associate	90분	객관식 60문	75%	250
OTCA	Associate	90분	객관식 60문	75%	250
CGOA	Associate	90분	객관식 60문	75%	250
CKAD	Pro	2시간	핸즈온 터미널	66%	445
CKA	Pro	2시간	핸즈온 터미널	66%	445
CKS	Pro	2시간	핸즈온 터미널	67%	445
CCSCA	Specialty	2시간	핸즈온 터미널	67%	545

응시료는 정가 기준이며, KubeCon 시즌과 블랙프라이데이에는 40~50% 할인 쿠폰이 풀린다. Linux Foundation 트레이닝과 함께 사는 번들이면 시험 1회 + 트레이닝 코스가 약 595 USD 선이다.

KCNA — 클라우드 네이티브의 ABC

KCNA는 "쿠버네티스를 왜 쓰는가"부터 시작한다. 출제 비중은 다음과 같다.

Kubernetes Fundamentals 46%: 컨트롤 플레인, 워크로드, 스케줄링, 서비스/네트워킹.
Container Orchestration 22%: 컨테이너 런타임, 보안, 네트워킹.
Cloud Native Architecture 16%: 자율성, 회복성, 마이크로서비스, 서버리스.
Cloud Native Observability 8%: 메트릭, 로그, 트레이스의 차이.
Cloud Native Application Delivery 8%: GitOps, CI/CD.

전형적인 KCNA 문제는 "다음 중 사이드카 패턴의 설명으로 옳은 것은?" 같은 개념형이다. 핸즈온이 없으므로 CNCF의 무료 문서와 KodeKloud 강의 12~16시간이면 합격이 일반적이다. KCNA의 진짜 가치는 자격증 자체보다, 이후 CKA를 칠 때 기본 용어를 정리해 준다는 점이다.

KCSA — 클라우드 네이티브 보안의 입문

KCSA는 2023년 후반에 추가된 입문 보안 시험이다. 출제 영역은 다음과 같다.

Overview of Cloud Native Security 14%: 4C(클라우드, 클러스터, 컨테이너, 코드) 모델.
Kubernetes Cluster Component Security 22%: API 서버, etcd, kubelet, kube-proxy 보안.
Kubernetes Security Fundamentals 22%: RBAC, Pod Security Standards, Network Policy, Secret 관리.
Kubernetes Threat Model 16%: 공격 표면 분석.
Platform Security 16%: 공급망, 이미지 서명, 정책 엔진.
Compliance and Security Frameworks 10%: NIST 800-190, MITRE ATT&CK for Containers.

KCSA가 CKS의 "절반"이라고 보면 된다. CKS는 핸즈온 시험인 반면 KCSA는 객관식이므로 개념을 빠르게 정리하기 좋다. KCNA 다음으로 추천하는 두 번째 어소시에이트다.

CKA — 클러스터 관리자 트랙의 정석

CKA는 5종 중 가장 오래된 시험이다. 2024년 9월 V1.31 기준으로 출제 비중이 다음과 같이 개편됐다.

Cluster Architecture, Installation and Configuration 25%
Workloads and Scheduling 15%
Services and Networking 20%
Storage 10%
Troubleshooting 30%

비중에서 보듯 **troubleshooting 30%**가 핵심이다. 다음과 같은 시나리오가 단골이다.

노드가 NotReady 상태다. 원인 진단하고 복구하라. (kubelet 서비스, kubeconfig 경로 확인)
Pod가 Pending 상태다. (Taint/Toleration, Node selector, Resource 부족)
Service에 연결이 안 된다. (Endpoint, kube-proxy iptables, NetworkPolicy)
etcd 백업과 복구. (etcdctl snapshot save/restore)

전형적인 CKA 풀이 스킬은 다음과 같다.

alias k=kubectl
export do='--dry-run=client -o yaml'
export now='--grace-period=0 --force'

k create deployment web --image=nginx:1.27 --replicas=3 $do > web.yaml
k apply -f web.yaml

k get pods -A -o wide --sort-by=.spec.nodeName

k describe pod failing-pod | sed -n '/Events/,$p'

k drain node-2 --ignore-daemonsets --delete-emptydir-data
sudo systemctl status kubelet
sudo journalctl -u kubelet -n 200 --no-pager

alias k=kubectl과 export do='--dry-run=client -o yaml'은 시험장에서 시간을 절약해 주는 표준 매크로다. 2시간 안에 15~20문항을 처리해야 하므로 손가락 자동화가 합격을 좌우한다.

CKAD — 앱 개발자 트랙

CKAD는 클러스터 관리보다 앱 작성과 배포에 초점이 있다. 2026년 5월 기준 도메인은 다음과 같다.

Application Design and Build 20%: Job, CronJob, init container, multi-container 패턴.
Application Deployment 20%: Deployment 전략, Helm, Kustomize.
Application Observability and Maintenance 15%: probes, logging, monitoring.
Application Environment, Configuration and Security 25%: ConfigMap, Secret, SecurityContext, ServiceAccount.
Services and Networking 20%: Service, Ingress, NetworkPolicy.

CKAD의 대표 패턴은 Pod 정의 YAML을 dry-run으로 만든 뒤 빠르게 수정하는 것이다.

apiVersion: v1
kind: Pod
metadata:
  name: web
  labels:
    app: web
spec:
  containers:
    - name: web
      image: nginx:1.27
      ports:
        - containerPort: 80
      readinessProbe:
        httpGet:
          path: /
          port: 80
        initialDelaySeconds: 3
        periodSeconds: 5
      livenessProbe:
        httpGet:
          path: /
          port: 80
        initialDelaySeconds: 10
        periodSeconds: 10
      resources:
        requests:
          cpu: 100m
          memory: 128Mi
        limits:
          cpu: 500m
          memory: 256Mi

CKA가 "클러스터를 살린다"라면 CKAD는 "잘 동작하는 워크로드를 작성한다"에 가깝다.

CKS — 보안 트랙, 5종 중 가장 어렵다

CKS는 CKA 합격이 응시 전제 조건이다. 2024년 후반 V1.30 커리큘럼 기준 영역은 다음과 같다.

Cluster Setup 10%: CIS Benchmark, kubelet 보안, kube-apiserver 옵션.
Cluster Hardening 15%: 최소 권한 RBAC, ServiceAccount.
System Hardening 10%: 호스트 OS, AppArmor, seccomp.
Minimize Microservice Vulnerabilities 20%: Pod Security Standards, Sandboxing(gVisor, Kata Containers), Secrets.
Supply Chain Security 20%: 이미지 검증, Cosign, SBOM, Admission Controllers.
Monitoring, Logging and Runtime Security 20%: Falco, audit logging.

CKS의 단골 시나리오는 다음과 같다. "주어진 Pod에 gVisor RuntimeClass를 적용하고, 외부 egress를 차단하는 NetworkPolicy를 작성하라."

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: deny-egress-default
  namespace: payments
spec:
  podSelector: {}
  policyTypes:
    - Egress
  egress:
    - to:
        - namespaceSelector:
            matchLabels:
              tier: data
      ports:
        - protocol: TCP
          port: 5432

apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
  name: gvisor
handler: runsc
---
apiVersion: v1
kind: Pod
metadata:
  name: untrusted-app
spec:
  runtimeClassName: gvisor
  containers:
    - name: app
      image: registry.internal/untrusted/app:1.0

여기에 Falco 룰까지 작성하라는 문제가 따라붙는다. Falco DSL의 기본형은 다음과 같다.

- rule: Shell in Container
  desc: Detect interactive shell spawn inside container
  condition: >
    spawned_process and container and
    proc.name in (bash, sh, zsh)
  output: >
    Interactive shell launched in container
    (user=%user.name container=%container.id image=%container.image.repository)
  priority: WARNING
  tags: [container, shell, mitre_execution]

CKS는 "외워서 푸는" 시험이 아니라 실제로 Pod Security Standards와 Network Policy, 그리고 Falco 룰을 빈 페이지에서 짜본 경험이 있어야 통과한다. 평균 준비 시간은 80~120시간이다.

어소시에이트 사다리 — PCA · ICA · CAPA · OTCA · CGOA · CCSCA

2025~2026년에 걸쳐 CNCF는 각 그래듀에이션 프로젝트별로 어소시에이트 자격증을 추가했다.

PCA (Prometheus Certified Associate): PromQL, recording rule, alerting rule, exporter, federation, remote_write.
ICA (Istio Certified Associate): VirtualService, DestinationRule, Gateway, AuthorizationPolicy, mTLS, telemetry v2.
CAPA (Cilium Associate): eBPF 기반 데이터플레인, CiliumNetworkPolicy, Hubble, ClusterMesh.
OTCA (OpenTelemetry Certified Associate): SDK, Collector, exporters, OTLP, trace/metric/log signal.
CGOA (Argo Certified Associate): Argo Workflows, Events, Rollouts, CD; GitOps 패턴.
CCSCA (Certified Cloud Security Specialist): 2026년 추가된 핸즈온 보안 특화. CKS의 상위 호환.

이 어소시에이트는 모두 객관식 60문 / 90분 / 75% 합격선이라 형식이 같다. 각 도구를 실무에서 한 분기 이상 써 본 사람이면 30~50시간 준비로 합격선에 닿는다.

Golden Kubestronaut — 모든 CNCF 자격증 동시 보유

Golden Kubestronaut는 Kubestronaut 5종 + 어소시에이트 6종 + Linux Foundation의 LFCS/LFCT까지 현존 CNCF 관련 자격증 전부를 동시에 유효 상태로 보유한 사람에게 부여되는 호칭이다. 2026년 5월 기준 전 세계 보유자는 200명 미만이다.

추가 혜택은 다음과 같다.

골드 자켓과 별도 패치.
KubeCon 메인 키노트 VIP 좌석.
CNCF Ambassador 자동 추천.
매년 모든 자격증 무료 응시권.

Golden Kubestronaut는 실용적 가치보다 클라우드 네이티브 생태계 내 시그널링이 본질이다. 대기업 시니어 SRE/플랫폼 엔지니어 채용에서 "이 사람이 정말 깊이 한다"의 빠른 증거로 통한다.

시험 환경 — PSI Bridge, ID 검사, 화이트보드 룰

2024년 후반 Linux Foundation은 시험 시스템을 ExamsLocal에서 PSI Bridge로 완전 이전했다. 2026년 5월 현재 모든 CNCF 시험은 PSI Bridge에서 치러지며, 다음 규칙이 적용된다.

시험 시작 15분 전부터 체크인 가능. 사진 ID 1종 필수(여권 권장).
시험 중 책상에는 컴퓨터, 키보드, 마우스, 물 한 컵만 허용. 종이/펜 금지.
화이트보드 기능이 시험 UI에 내장돼 있어 메모는 그쪽에서 한다.
카메라로 360도 룸 스캔 필수. 시험 도중 시선 이탈, 외부 소리 감지 시 경고/실격.
사용 가능한 외부 자료는 kubernetes.io, kubernetes.io/blog, github.com/kubernetes의 공식 도큐먼트 1탭 + 시험 UI 안의 docs 검색뿐.

이 1탭 룰을 모르는 사람이 의외로 많다. 시험 중 새 탭, 새 창을 여는 순간 실격이다. kubectl 명령어 예제 페이지, 공식 cheat sheet, 도큐먼트 검색을 평소부터 그 1탭 안에서 끝내는 훈련이 필요하다.

시험 팁 — 2시간 안에 17문항을 푸는 방법

CKA/CKAD/CKS는 모두 핸즈온 터미널 시험이다. 시간 분배가 합격을 좌우한다.

첫 5분: 모든 문항을 훑어보며 점수가 높고 빠른 문항을 표시한다. 점수는 문항 우측에 % 단위로 표시된다.
alias 설정 (10초): alias k=kubectl, export do='--dry-run=client -o yaml', export now='--grace-period=0 --force', source <(kubectl completion bash).
vimrc 설정 (20초): ~/.vimrc에 set ts=2 sw=2 et ai 한 줄. YAML 들여쓰기가 망가지면 답안이 무효가 된다.
kubectl explain 활용: API 필드명이 기억나지 않으면 kubectl explain pod.spec.containers --recursive.
컨텍스트 전환 명령: 문제마다 화면 상단의 컨텍스트 전환 명령이 표시된다. 잘못된 클러스터에서 명령을 친 답안은 0점이다.
체크포인트(별도 노트): 답을 제출했더라도 끝까지 두 번 재확인. CKS는 정책이 실제 효과를 내는지 검증 명령까지 적어 두자.

평균적으로 CKA는 17~~20문항, CKAD는 14~~17문항, CKS는 15~18문항이 출제되며, 한 문항당 5~9분 안에 끝내야 안전하다.

학습 자료 — Killer Shell, KodeKloud, A Cloud Guru, LF Training

2026년 5월 기준 가장 가성비 높은 학습 경로는 다음 조합이다.

Linux Foundation 트레이닝: 공식 코스. 시험 1회 + 코스 번들이 약 595 USD. 진도는 평이하지만 출제 범위 전체를 빠짐없이 다룬다.
KodeKloud: 한국·인도·미국 모두에서 평이 가장 좋다. 강사 Mumshad Mannambeth의 코스가 사실상 업계 표준.
Killer Shell: Linux Foundation 시험 신청 시 무료 제공되는 시뮬레이터. 실제 시험보다 약 1.3배 어렵다.
A Cloud Guru / Pluralsight: 동영상 중심. CKA보다는 KCNA/KCSA에 좋다.
CNCF Curriculum 리포지토리: 공식 출제 범위 PDF. 매 분기 업데이트.
udemy "CKA with Practice Tests": KodeKloud의 udemy 판본. 동일 강의를 더 저렴하게 살 수 있다.

추천 순서는 KodeKloud 강의로 개념 정리 → CNCF 공식 출제 범위 PDF로 누락 점검 → Killer Shell 2회 시도. Killer Shell을 80% 이상 풀어내는 사람은 본 시험에서 거의 다 합격한다.

학습 시간 가이드 — 1년차 vs 5년차

현장에서 흔히 묻는 "준비 시간"의 현실적 범위는 다음과 같다.

시험	1~2년차	3~5년차	시니어	비고
KCNA	30~50h	12~20h	6~12h	개념 정리 위주
KCSA	40~60h	20~30h	12~20h	보안 백그라운드 있으면 절반
CKAD	80~120h	40~70h	25~40h	dry-run + Kustomize 숙달 시간 포함
CKA	120~160h	70~100h	40~60h	실제 클러스터 troubleshooting 시간
CKS	100~140h	70~100h	50~80h	Falco/OPA/Trivy 실습 포함
PCA	40~60h	20~30h	12~20h	PromQL이 핵심
ICA	60~80h	30~50h	20~30h	mTLS와 트래픽 관리 실습
CAPA	60~80h	30~50h	20~30h	eBPF 개념 + CiliumNetworkPolicy
OTCA	50~70h	25~40h	15~25h	Collector 구성 실습
CGOA	50~70h	25~40h	15~25h	Argo CD/Rollouts 실습

시간은 "실험 + 강의 + 모의시험"의 합이다. 강의만 들으면 시험장에서 손이 안 따라간다.

한국 커뮤니티 — KCD Seoul, 쿠버네티스 한국 사용자 그룹

한국에서 Kubestronaut 보유자는 2026년 5월 기준 약 380명 선이다. 학습/네트워킹 거점은 다음과 같다.

쿠버네티스 한국 사용자 그룹(K8s Korea): facebook.com/groups/k8skr, 회원 1.7만 명. 매월 정기 밋업.
KCD Seoul: CNCF 공식 KCD(Kubernetes Community Days) 시리즈의 서울 에디션. 2025년 11월 1,400명 참가.
CNCG Seoul/Busan: 부산/대전 등 지방 거점. 시험 응시 후기 공유가 활발.
OpenInfra Day Korea: 인프라 전반을 다루지만 K8s/CNCF 트랙이 크다.
NHN Forward, AWS Community Day, Naver DEVIEW: 기업 컨퍼런스 안 K8s 트랙.
인프런/패스트캠퍼스: 국내 한국어 강의. 영문 KodeKloud 강의를 한국어로 따라가기 어렵다면 시작점으로 쓸 수 있다.

K8s Korea의 슬랙에는 시험 응시 후 24시간 안에 후기를 올리는 채널이 있어 출제 트렌드를 빠르게 파악할 수 있다. NDA 위반 없이 출제 범위와 난이도 체감만 공유한다.

일본 커뮤니티 — CNDT, KCD Tokyo, JKD

일본은 2018년부터 CloudNative Days Tokyo(CNDT)를 운영해 왔다. 한국보다 1~2년 일찍 클라우드 네이티브 컨퍼런스가 정착했다.

Cloud Native Days Tokyo / Summer (CNDT/CNDS): 매년 가을과 여름. 2024년 가을 참가자 2,800명.
KCD Tokyo: 2024년에 처음 개최. CNCF 공식 KCD 시리즈.
Japan Container Days(JKD): CNDT의 전신. 지금도 분과 행사로 살아 있다.
Cloud Native Community Japan(CNCJ): 통합 운영체. 슬랙 channel #cncj 활성.
OpenStack Days Tokyo: K8s 트랙이 핵심.

일본 시장은 SIer 비중이 커서 "Kubestronaut 보유 = 사내 K8s 챔피언" 역할로 빠르게 자리 잡는다. SoftBank, LINE, CyberAgent, ZOZO, Yahoo Japan, Rakuten은 사내 학습 비용 지원 정책이 있어 응시료 환급이 일반적이다.

연봉 효과 — Kubestronaut가 얼마를 더 받게 하는가

자격증 자체가 연봉을 결정하지는 않는다. 다만 다음 데이터는 일관되게 "Kubestronaut 보유자가 동일 경력 미보유자보다 12~22% 더 받는다"를 보여준다.

시장	1~3년차	4~7년차	8년차+	출처
미국(원격)	110~140k USD	160~220k USD	240k USD+	Stack Overflow Developer Survey 2025
EU	65~85k EUR	90~130k EUR	140k EUR+	KodeKloud State of K8s 2025
한국	6,500~8,500만 원	9,500~1.4억 원	1.5억 원+	잡플래닛 + 원티드 2025
일본	700~900만 엔	1,100~1,500만 엔	1,600만 엔+	doda IT/エンジニア 2025
인도(원격)	18~28L INR	35~55L INR	60L INR+	KodeKloud Survey 2025

CNCF 자체 조사(2024년 CNCF Survey)에 따르면 Kubestronaut 보유자의 67%가 인증 후 12개월 안에 연봉 인상 또는 이직에 성공했다고 응답했다. 다만 응답자 편향이 있을 수 있으니 절대값보다 "+12~22%" 범위를 기준으로 보자.

kubectl 워크플로 — 합격을 결정하는 손가락 자동화

핸즈온 시험에서 합격을 가르는 건 결국 얼마나 빠르게 답안을 만들어 내느냐다. 다음 패턴은 외워서 즉시 칠 수 있어야 한다.

# Pod / Deployment / Service / Ingress 빠른 생성
k run nginx --image=nginx:1.27 --port=80 $do > pod.yaml
k create deployment api --image=api:1.0 --replicas=3 --port=8080 $do > deploy.yaml
k expose deployment api --port=80 --target-port=8080 --type=ClusterIP $do > svc.yaml
k create ingress api --rule="api.example.com/*=api:80" $do > ing.yaml

# Job / CronJob
k create job hello --image=busybox:1.36 -- /bin/sh -c "echo hi; sleep 5" $do > job.yaml
k create cronjob nightly --image=busybox:1.36 --schedule="0 2 * * *" -- /bin/sh -c "echo nightly" $do > cron.yaml

# ConfigMap / Secret
k create configmap app-cfg --from-literal=ENV=prod --from-file=app.properties $do > cm.yaml
k create secret generic db-cred --from-literal=DB_USER=app --from-literal=DB_PASS=pa55w0rd $do > secret.yaml

# RBAC
k create serviceaccount deployer -n ci
k create clusterrole reader --verb=get,list,watch --resource=pods,deployments $do > role.yaml
k create clusterrolebinding deployer-reader --clusterrole=reader --serviceaccount=ci:deployer $do > rb.yaml

do와 now 환경 변수, kubectl explain, kubectl get -o jsonpath까지 합치면 90% 이상의 답안은 손가락에서 흘러나오게 만들 수 있다.

Helm · Kustomize · GitOps — CKAD를 넘는 실무 도구

시험은 kubectl 중심이지만 실무는 그렇지 않다. Helm과 Kustomize, 그리고 Argo CD/Flux는 CNCF 자격증 사다리 전체에서 점차 비중이 늘고 있다.

# kustomization.yaml
apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization
namespace: prod
commonLabels:
  app: payments
  env: prod
resources:
  - ../../base
patches:
  - target:
      kind: Deployment
      name: payments
    patch: |-
      - op: replace
        path: /spec/replicas
        value: 8
      - op: replace
        path: /spec/template/spec/containers/0/image
        value: registry.internal/payments:1.42.0
images:
  - name: payments
    newTag: 1.42.0
configMapGenerator:
  - name: payments-cfg
    literals:
      - ENV=prod
      - REGION=apne2

# Helm 기본 흐름
helm repo add bitnami https://charts.bitnami.com/bitnami
helm repo update
helm install pg bitnami/postgresql --version 15.5.20 -n data --create-namespace \
  --set auth.username=app --set auth.password=pa55w0rd

# Argo CD App 정의 (선언적 GitOps)
kubectl apply -n argocd -f - <<'YAML'
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
  name: payments-prod
  namespace: argocd
spec:
  project: default
  source:
    repoURL: https://github.com/org/payments.git
    path: deploy/overlays/prod
    targetRevision: main
  destination:
    server: https://kubernetes.default.svc
    namespace: prod
  syncPolicy:
    automated:
      prune: true
      selfHeal: true
YAML

CKAD 시험에서 Helm/Kustomize 자체를 깊이 묻지는 않지만, **CGOA(Argo Certified Associate)**와 OTCA, 그리고 시니어 실무에선 필수다.

보안 도구 — Falco · OPA Gatekeeper · Kyverno · Trivy

CKS의 단골 도구는 다음 4가지다.

Falco: 런타임 침입 탐지. eBPF 기반 시스템콜 감시.
OPA Gatekeeper: Rego 언어 기반 Admission 정책.
Kyverno: YAML 친화 Admission 정책. 한국어 친화도가 더 높다.
Trivy: 이미지/IaC/SBOM 스캔. Aqua Security.

Kyverno 정책 예시는 다음과 같다.

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: require-nonroot
spec:
  validationFailureAction: Enforce
  background: true
  rules:
    - name: check-runAsNonRoot
      match:
        any:
          - resources:
              kinds: ["Pod"]
      validate:
        message: "Pods must set runAsNonRoot=true"
        pattern:
          spec:
            securityContext:
              runAsNonRoot: true

이런 정책을 시험장에서 한 번에 짜낼 수 있느냐가 CKS 합격선이다.

관측성 트랙 — Prometheus, OpenTelemetry, Istio

PCA/OTCA/ICA는 사실상 한 묶음이다. 클라우드 네이티브에서 관측 가능성(observability)은 메트릭/트레이스/로그 세 축으로 갈라지고, 각 축의 표준이 Prometheus, OpenTelemetry, OpenSearch/Loki다.

PCA: PromQL 24%, 인스턴스/스크레이프 18%, 알림 18%, 인스트루멘테이션 16%, 운영/배포 14%, 기타 10%.
OTCA: 분산 트레이싱의 개념 22%, OTel Collector 28%, SDK/API 20%, OTLP 12%, 컨벤션 18%.
ICA: 트래픽 관리 30%, 보안 25%, 관측 15%, 인스톨/업그레이드 20%, 커스터마이즈 10%.

PromQL 예시 한 줄이면 PCA의 단골 패턴을 알 수 있다.

# 1분 평균 요청 율
rate(http_requests_total[1m])

# 5xx 비율
sum(rate(http_requests_total{code=~"5.."}[5m]))
  / sum(rate(http_requests_total[5m]))

# p99 응답 시간
histogram_quantile(0.99,
  sum by (le)(rate(http_request_duration_seconds_bucket[5m])))

# 노드 디스크 임계치
predict_linear(node_filesystem_avail_bytes{mountpoint="/"}[6h], 86400) < 0

이런 표현식을 무리 없이 읽고 쓸 수 있으면 PCA는 거의 합격이다.

응시 일정 짜기 — 6개월에 5종을 따려면

6개월에 Kubestronaut를 따려는 사람을 위한 표준 일정은 다음과 같다.

0~4주차: KCNA. KodeKloud 12시간 + 공식 PDF + Killer Shell-free.
5~8주차: KCSA. KCNA 후 보안 챕터 강화. 30~50시간.
9~16주차: CKAD. 100시간 전후. 매주 토요일 2시간 Killer Shell.
17~22주차: CKA. 120~160시간. 매주 1회 모의시험.
23~26주차: CKS. 100~140시간. CKA 합격 후 즉시 신청해야 신선한 vim/k 손가락이 유지된다.

5종을 동시에 유효 상태로 만들면 자동으로 Kubestronaut 호칭이 부여된다. 보통 인증 처리에 3~5영업일 정도 걸린다.

자주 빠지는 함정 — 시간 관리, 1탭 룰, 답안 검증

마지막으로, 실패의 흔한 패턴 5가지다.

시간 분배 실패: 첫 문항에 30분을 써서 나머지를 못 푼다. 어려운 문항은 즉시 skip 후 마지막에 돌아간다.
1탭 룰 위반: kubernetes.io에서 새 탭이 자동으로 열리는 링크가 있다. 항상 같은 탭에서 navigate 해야 한다.
YAML 들여쓰기 깨짐: vimrc 세팅이 없으면 답안이 통째로 0점. 시험 시작 30초 안에 vimrc 한 줄을 친다.
검증 누락: 정책 답안을 만들고 실제 효과를 검증하지 않으면 점수가 깎인다. kubectl auth can-i, kubectl run --rm -it test --image=busybox 같은 검증 명령을 적극 활용한다.
컨텍스트 전환 누락: 문항마다 클러스터가 바뀐다. 화면 상단의 컨텍스트 명령을 매번 실행하자.

이 5가지만 피해도 합격률이 눈에 띄게 오른다.

결론 — 자격증은 출발선, 진짜 가치는 운영 경험

Kubestronaut는 "이미 잘 하는 사람이 빨리 따는 마라톤"이 아니라 "체계적으로 K8s를 공부하게 만드는 외부 압력"에 가깝다. CKAD/CKA/CKS 세 시험을 통과하는 과정에서 RBAC, Pod Security Standards, NetworkPolicy, 이미지 서명, GitOps, 관측 가능성 등의 표준 개념이 자연스럽게 손에 익는다.

자격증 자체가 연봉을 결정하진 않는다. 그러나 동일 경력에서 12~22% 보상 격차, 1년 안에 67%가 이직/인상에 성공이라는 데이터는 무시할 수 없다. 그보다 더 중요한 건 클라우드 네이티브 생태계가 이미 자격증 사다리 위에서 사람들을 분류하기 시작했다는 사실이다. 2026년 후반에는 어소시에이트 자격증이 신입 채용 우대 조건으로, Kubestronaut가 시니어 SRE의 표준 시그널로 자리 잡을 것이다.

References

CNCF Certifications Overview — https://www.cncf.io/training/certification/
Kubestronaut Program — https://www.linuxfoundation.org/kubestronaut
CNCF Curriculum Repository — https://github.com/cncf/curriculum
CKA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKA_Curriculum_v1.31.pdf
CKAD Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKAD_Curriculum.pdf
CKS Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKS_Curriculum_v1.30.pdf
KCNA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/KCNA_Curriculum.pdf
KCSA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/KCSA_Curriculum.pdf
Killer Shell Simulator — https://killer.sh
KodeKloud — https://kodekloud.com/
Linux Foundation Training — https://training.linuxfoundation.org/
Learn CNCF — https://learn.cncf.io/
Kubernetes Documentation — https://kubernetes.io/docs/
Cilium Documentation — https://docs.cilium.io/
Istio Documentation — https://istio.io/latest/docs/
OpenTelemetry Documentation — https://opentelemetry.io/docs/
Argo Project — https://argoproj.github.io/
Prometheus Documentation — https://prometheus.io/docs/introduction/overview/
Falco Documentation — https://falco.org/docs/
Kyverno — https://kyverno.io/docs/
OPA Gatekeeper — https://open-policy-agent.github.io/gatekeeper/website/
Trivy — https://trivy.dev/
KCD Seoul — https://community.cncf.io/kcd-seoul/
KCD Tokyo — https://community.cncf.io/kcd-tokyo/
Cloud Native Days Tokyo — https://cloudnativedays.jp/
Stack Overflow Developer Survey 2025 — https://survey.stackoverflow.co/2025

이 글이 도움이 됐다면 뉴스레터 구독을 부탁드려요