컨테이너 이스케이프와 공급망 공격 시대에 런타임 보안이 왜 필수인지, 그리고 eBPF가 어떻게 답이 되는지 정리합니다. Falco 룰 작성, Tetragon TracingPolicy로 차단까지, BPF LSM의 원리, seccomp/AppArmor와의 계층 비교, 운영 노하우를 다룹니다.
2024년 xz 백도어 사건과 2025년 EU CRA(Cyber Resilience Act) 발효 이후 컨테이너 공급망 보안은 더 이상 "scan하고 끝"이 아니다. Trivy/Grype/Snyk/Sysdig 이미지 스캐너, Tetragon/Falco eBPF 런타임 보안, Cosign/Sigstore 키리스 서명, in-toto/SLSA 1-4 단계, CycloneDX/SPDX SBOM, distroless 이미지, gVisor/Kata 샌드박스, OPA Gatekeeper vs Kyverno 어드미션 컨트롤러까지 — 2026년 5월 현재의 공급망 보안 풀스택 지도.
2026년 5월 기준 컨테이너·쿠버네티스 보안 스캐닝 생태계를 한 글에 정리합니다. Trivy 0.58·Grype·Syft·Clair v4·Snyk Container 같은 이미지 취약점 스캐너, Falco·Tetragon·Tracee 같은 eBPF 런타임 보안, Kubescape·Datree·kube-bench·Polaris·Checkov 같은 K8s 미스컨피그 스캐너, Cosign/Sigstore 공급망 보안, Chainguard/Distroless/Wolfi 하드닝 이미지, Wiz·Prisma Cloud·Sysdig 같은 CNAPP, 그리고 토스·NAVER Cloud·Yahoo!Japan·Mercari 사례까지 담았습니다.