✍️ 필사 모드: Golden Kubestronaut 완전 로드맵 — 16개 CNCF 자격증 정복 가이드 (자격증별 공부 내용 포함, 2026)

프롤로그 — Kubestronaut, 그리고 그 위의 Golden

CNCF(Cloud Native Computing Foundation)의 Kubestronaut 프로그램은 클라우드 네이티브 자격증의 끝판왕 트랙이다.

• Kubestronaut — Kubernetes 핵심 자격증 5개를 모두 취득한 사람. 멋진 재킷과 커뮤니티 배지를 받는다.
• Golden Kubestronaut — 모든 CNCF 자격증 + LFCS를 취득한 사람. 2025년 4월 신설된 최상위 등급. 평생 유지되는 타이틀.

왜 이걸 하는가? 솔직하게:

• 자격증이 실력을 증명하진 않는다. 하지만 체계적으로 클라우드 네이티브 생태계 전체를 훑게 만든다.
• CKA/CKAD/CKS의 hands-on 시험은 진짜로 손을 쓰게 한다. 외워서는 못 푼다.
• 채용·계약·승진에서 명확한 신호가 된다. 특히 DevOps·플랫폼 엔지니어.
• 무엇보다 — Prometheus, Istio, Cilium, Argo, OpenTelemetry를 각각 깊게 볼 핑계가 생긴다. 평소엔 안 한다.

이 글은 16개 시험을 하나하나 분해한다. 형식, 도메인, 공부 내용, 난이도, 팁. 최대한 자세하게.

주의: CNCF는 새 자격증을 계속 추가한다. Golden Kubestronaut 요건도 그에 따라 갱신된다. 이 글은 2026년 5월 기준 — CNPA(2025년 10월 추가), CNPE(2026년 3월부터 요건)를 포함한다. 시험 전 항상 공식 페이지로 최신 요건을 확인하라.

1장 · 두 등급 — 5개 vs 16개

Kubestronaut — Kubernetes 5종

Golden Kubestronaut — 위 5개 + 아래 11개

합계: 15개 CNCF 자격증 + LFCS = 16개. 전부 통과하면 Golden Kubestronaut.

2장 · 시험 형식 두 종류 — 이 차이가 전부다

CNCF 시험은 딱 두 종류다. 준비 전략이 완전히 다르다.

Performance-based (핸즈온) — CKA, CKAD, CKS, CNPE, LFCS

• 실제 터미널에서 진짜 Kubernetes 클러스터·리눅스 시스템을 다룬다.
• 2시간. 여러 개의 실무 과제를 푼다.
• 외워서는 절대 못 푼다. kubectl을 손에 익혀야 한다.
• CKA/CKAD/CKS는 응시료에 재응시 1회 포함.
• 점수 기준: 보통 CKA/CKS 66%, CKAD 66% 내외(공식 기준 확인).

Multiple-choice (객관식) — KCNA, KCSA, PCA, ICA, CCA, CAPA, CGOA, CBA, OTCA, KCA, CNPA

• 객관식. KCNA는 90분.
• 개념·아키텍처·용어 중심. 핸즈온 랩은 없다.
• 상대적으로 빠르게 딸 수 있다 — Golden Kubestronaut의 "물량" 파트.
• 그래도 실제로 그 프로젝트를 써본 경험이 있으면 압도적으로 유리하다.

전략의 핵심: 핸즈온 5종은 시간과 손이 필요하다. 객관식 11종은 지식의 폭이 필요하다. 이 둘을 섞어 일정을 짠다 (8장).

3장 · 추천 학습 순서 — 로드맵

순서가 중요하다. 쉬운 것이 어려운 것의 기반이 된다.

[1단계 · 기초]   KCNA → KCSA
                  (객관식, 생태계 전체 지도를 그린다)
        │
        ▼
[2단계 · 핸즈온 핵심]  CKAD → CKA → CKS
                  (CKS는 CKA 통과가 선행 조건. 손에 kubectl을 익힌다)
        │
        ▼
[3단계 · 프로젝트군]  CGOA → CAPA → PCA → OTCA → KCA → CBA → ICA → CCA
                  (객관식. 2단계에서 익힌 K8s 지식 위에 얹는다)
        │
        ▼
[4단계 · 플랫폼·리눅스]  LFCS → CNPA → CNPE
                  (LFCS는 핸즈온 리눅스. CNPE는 핸즈온 플랫폼 엔지니어링)

• KCNA 먼저 — 생태계 전체 지도를 먼저 그린다. 나머지 모든 시험의 맥락이 된다.
• CKAD를 CKA보다 먼저 권하는 경우가 많다 — 범위가 좁고 진입이 부드럽다. (반대 의견도 있다 — CKA가 더 근본적이라 먼저. 본인 배경에 따라.)
• CKS는 무조건 CKA 통과 후 — 공식 선행 요건.
• 프로젝트군은 2단계 후 — Kubernetes를 알아야 Istio·Cilium·Argo가 이해된다.

4장 · Kubernetes 5종 — 도메인과 공부 내용

KCNA — Kubernetes and Cloud Native Associate

• 형식: 객관식, 90분. 난이도: 입문.
• 도메인: Kubernetes Fundamentals 46%, Container Orchestration 22%, Cloud Native Architecture 16%, Cloud Native Observability 8%, Cloud Native Application Delivery 8%.
• 공부 내용: Pod·Deployment·Service·Namespace 같은 핵심 오브젝트, 컨테이너 런타임과 OCI, 스케줄링 기초, 클라우드 네이티브 아키텍처(마이크로서비스, 자동확장, 12-factor), 관측성 3축(메트릭·로그·트레이스) 개념, CI/CD·GitOps·Helm 개념.
• 팁: 모든 여정의 출발점. 여기서 생태계 용어를 잡으면 나머지가 쉬워진다.

KCSA — Kubernetes and Cloud Native Security Associate

• 형식: 객관식. 난이도: 입문~중급.
• 공부 내용: Kubernetes 보안 4C(Cloud·Cluster·Container·Code), 위협 모델, RBAC 개념, Pod Security Standards, 네트워크 폴리시 개념, 공급망 보안, etcd·API 서버 보안, 인증·인가 흐름.
• 팁: CKS의 "개념판". KCSA로 보안 어휘를 잡고, CKS에서 손으로 구현한다.

CKAD — Certified Kubernetes Application Developer

• 형식: 핸즈온, 2시간. 난이도: 중급.
• 공부 내용: 애플리케이션 설계·빌드(멀티컨테이너 Pod 패턴, init container, Job/CronJob), 배포(Deployment 롤링업데이트·롤백, Helm 기초), 설정(ConfigMap·Secret, SecurityContext, ServiceAccount, 리소스 requests/limits), 관측성(probe — liveness·readiness·startup, 로그·디버깅), 네트워킹·스토리지(Service, NetworkPolicy 기초, PV/PVC).
• 팁: 개발자 관점. "앱을 K8s 위에서 굴리는" 능력. CKA보다 범위가 좁아 입문용으로 좋다.

CKA — Certified Kubernetes Administrator

• 형식: 핸즈온, 2시간. 난이도: 중급~상급.
• 공부 내용: 클러스터 아키텍처·설치·구성(kubeadm으로 클러스터 구축, 업그레이드, etcd 백업·복구), 워크로드·스케줄링, 서비스·네트워킹(CNI, CoreDNS, Ingress, Gateway API), 스토리지(StorageClass, PV/PVC 동적 프로비저닝), 트러블슈팅(노드·컨트롤플레인·앱 장애, 로그 분석) — 트러블슈팅 비중이 크다.
• 팁: 가장 "근본적인" 자격증. etcd 백업/복구와 클러스터 업그레이드는 거의 반드시 나온다. 손에 익혀라.

CKS — Certified Kubernetes Security Specialist

• 형식: 핸즈온, 2시간. 선행 요건: CKA 통과. 난이도: 상급.
• 공부 내용: 클러스터 셋업 강화(CIS 벤치마크, kube-bench), 시스템 강화(최소 권한, AppArmor·seccomp), 마이크로서비스 취약성 최소화(Pod Security Standards, OPA/Gatekeeper·Kyverno, mTLS), 공급망 보안(이미지 스캔, SBOM, 이미지 서명), 런타임 보안·모니터링(Falco, 감사 로그, behavioral analytics).
• 팁: 가장 어렵다. 도구가 많다(Falco, Trivy, kube-bench, AppArmor). 각 도구를 실제로 돌려봐야 한다.

5장 · 프로젝트 자격증군 — 8개 (전부 객관식)

CNCF 졸업·인큐베이팅 프로젝트별 자격증. 전부 객관식이라 빠르게 모을 수 있다.

PCA — Prometheus Certified Associate

• 프로젝트: Prometheus (메트릭·모니터링).
• 공부 내용: Prometheus 아키텍처(스크래핑, TSDB, 풀 모델), PromQL(셀렉터, 함수, 집계 — 가장 중요), exporter와 instrumentation, 알림(Alertmanager, 라우팅·억제), 서비스 디스커버리, 레코딩 룰.

ICA — Istio Certified Associate

• 프로젝트: Istio (서비스 메시).
• 공부 내용: 메시 아키텍처(데이터플레인 Envoy, 컨트롤플레인 istiod, 사이드카 vs ambient 모드), 트래픽 관리(VirtualService, DestinationRule, 카나리·미러링), 보안(mTLS, AuthorizationPolicy, PeerAuthentication), 관측성(분산 추적, 메트릭).

CCA — Cilium Certified Associate

• 프로젝트: Cilium (eBPF 기반 네트워킹·보안).
• 공부 내용: eBPF 기초, Cilium 아키텍처, CNI로서의 Cilium, 네트워크 폴리시(L3/L4/L7), Hubble로 관측성, 클러스터 메시, 로드밸런싱·kube-proxy 대체.

CAPA — Certified Argo Project Associate

• 프로젝트: Argo (CD·Workflows·Rollouts·Events).
• 공부 내용: Argo CD(GitOps 동기화, App of Apps, sync wave), Argo Workflows(DAG·step 워크플로), Argo Rollouts(카나리·블루그린, 분석), Argo Events(이벤트 기반 트리거).

CGOA — GitOps Certified Associate

• 프로젝트: GitOps 원칙 (특정 도구가 아닌 방법론).
• 공부 내용: GitOps 4원칙(선언적, 버전관리·불변, 자동 pull, 지속 조정), push vs pull 모델, drift 감지·자가 치유, Flux·Argo CD 같은 도구의 위치, 비밀 관리.

CBA — Certified Backstage Associate

• 프로젝트: Backstage (개발자 포털).
• 공부 내용: 개발자 포털 개념, Software Catalog(엔티티 모델 — Component·API·System), Software Templates(스캐폴딩), TechDocs, 플러그인 아키텍처, Backstage 배포.

OTCA — OpenTelemetry Certified Associate

• 프로젝트: OpenTelemetry (관측성 표준).
• 공부 내용: 관측성 3축(traces·metrics·logs)과 OTel의 통합 모델, instrumentation(자동 vs 수동), OpenTelemetry Collector(receiver·processor·exporter 파이프라인), 컨텍스트 전파, 시맨틱 컨벤션, OTLP 프로토콜.

KCA — Kyverno Certified Associate

• 프로젝트: Kyverno (정책 엔진).
• 공부 내용: Policy as Code 개념, Kyverno 정책 타입(validate·mutate·generate·verifyImages), admission controller로서의 동작, ClusterPolicy vs Policy, 정책 예외, CKS의 OPA/Gatekeeper와의 비교.

학습 효율 팁: 이 8개는 2단계(CKA/CKAD/CKS)를 끝낸 직후 몰아서 보면 시너지가 크다. K8s 오브젝트 모델을 알면 Istio의 CRD도, Argo의 CRD도, Kyverno의 정책도 같은 패턴으로 읽힌다.

6장 · 플랫폼 엔지니어링 + 리눅스 — CNPA, CNPE, LFCS

LFCS — Linux Foundation Certified System Administrator

• 형식: 핸즈온. 공부 내용: 리눅스 운영 전반 — 파일시스템·스토리지, 사용자·권한, 프로세스·서비스(systemd), 네트워킹, 패키지 관리, 셸 스크립팅, 기본 보안.
• 팁: CNCF 자격증은 아니지만 Golden 요건. K8s 핸즈온 시험들의 기반 체력이기도 하다. vim·bash·grep·sed가 손에 익는다.

CNPA — Cloud Native Platform Engineering Associate

• 형식: 객관식. 추가 시점: 2025년 10월 15일부터 Golden 요건.
• 공부 내용: 플랫폼 엔지니어링 개념, 내부 개발자 플랫폼(IDP), 골든 패스(golden path), 개발자 경험(DevEx), 셀프서비스 인프라, 플랫폼 as a product 사고방식.

CNPE — Certified Cloud Native Platform Engineer

• 형식: 핸즈온. 요건 시점: 2026년 3월 1일부터 Golden 요건.
• 공부 내용: 내부 개발자 플랫폼을 실제로 구축·운영하는 능력 — 여러 CNCF 도구(Argo, Backstage, 관측성 스택 등)를 엮어 셀프서비스 플랫폼을 만든다. 앞선 모든 자격증의 종합편 성격.
• 팁: 가장 늦게, 마지막에. 다른 자격증에서 익힌 도구들을 조립하는 시험이라 맨 끝이 자연스럽다.

7장 · 핸즈온 시험 실전 팁

CKA·CKAD·CKS·CNPE·LFCS — 핸즈온 5종은 별도의 기술이 필요하다.

환경에 익숙해지기

• kubectl 별칭: 시험 시작하자마자 alias k=kubectl. 손가락 시간을 아낀다.
• 자동완성: source <(kubectl completion bash).
• kubectl explain: 필드 구조가 기억 안 나면 kubectl explain pod.spec.containers. 문서를 안 떠나도 된다.
• 공식 문서 허용: 시험 중 kubernetes.io/docs를 볼 수 있다. 하지만 검색에 의존하면 시간이 부족하다. 자주 쓰는 건 외워라.

속도 전략

• --dry-run=client -o yaml: 오브젝트를 처음부터 타이핑하지 마라. k run·k create로 YAML 골격을 뽑고 수정한다.
• 시간 배분: 배점이 큰 문제부터. 막히면 플래그를 달고 넘어간다 — 한 문제에 매몰되지 마라.
• 컨텍스트 전환: 각 문제는 다른 클러스터일 수 있다. 문제마다 주어진 kubectl config use-context 명령을 반드시 먼저 실행.
• 검증: 답을 만든 뒤 k get·k describe로 실제로 동작하는지 확인. 부분 점수가 있다.

연습 환경

• killer.sh — CKA/CKAD/CKS 응시료에 포함된 시뮬레이터. 실제 시험보다 어렵다. 두 번 돌릴 수 있다.
• 로컬 클러스터 — kind·minikube·k3d로 직접 깨고 고친다.
• 킬러 연습: etcd 백업/복구, 클러스터 업그레이드, 깨진 노드 살리기 — CKA 단골. 손에 익을 때까지.

vim 최소 생존 기술

핸즈온 시험은 vim을 쓰게 된다. 최소한:

• YAML 들여쓰기: :set expandtab tabstop=2 shiftwidth=2
• 비주얼 블록으로 다중 라인 들여쓰기, :%s로 치환, dd/yy/p.

8장 · 비용·일정 관리

비용 감각

• CKA·CKAD·CKS: 각 $395 내외 (재응시 1회 포함).
• KCNA·KCSA·프로젝트 객관식들: 각 $250 내외.
• LFCS: 핸즈온, 별도 가격.
• 전체 16개는 상당한 금액이다. 단, CNCF는 번들·세일·바우처를 자주 낸다. Kubestronaut/Golden 번들을 노려라. KubeCon 시즌 할인도 흔하다.
• 자격증은 보통 유효기간이 있다 (대개 2~3년, 자격증마다 다름). Golden Kubestronaut 타이틀 자체는 평생이지만, 개별 자격증 갱신 정책은 확인하라.

일정 짜기 — 핸즈온과 객관식을 섞어라

번아웃을 피하는 핵심: 무거운 핸즈온과 가벼운 객관식을 번갈아.

예시 페이스 (개인 사정에 맞게 조정):
  월 1   KCNA + KCSA           (객관식, 워밍업)
  월 2-3 CKAD → CKA            (핸즈온, 집중)
  월 4   CGOA + CAPA + PCA     (객관식, 회복 + 물량)
  월 5   CKS                   (핸즈온, 최난도)
  월 6   OTCA + KCA + CBA      (객관식)
  월 7   ICA + CCA + CNPA      (객관식)
  월 8   LFCS → CNPE           (핸즈온, 종합편)

• 핸즈온 직후엔 객관식으로 회복.
• CKS는 CKA 충분히 익은 뒤 — 바로 연달아 가지 마라.
• CNPE는 맨 끝 — 다른 도구를 다 익힌 뒤 조립.
• 한 번에 다 하려 하지 마라. 6~12개월 페이스가 현실적이다.

떨어졌을 때

핸즈온 시험은 재응시가 포함돼 있다. 떨어져도 정상이다. 무엇이 부족했는지 메모하고 — 보통 "특정 작업의 속도" 또는 "특정 도구 미숙" — 그 부분만 집중 연습 후 재응시.

에필로그 — 자격증이 아니라 여정

Golden Kubestronaut의 진짜 가치는 재킷이 아니다. 클라우드 네이티브 생태계 전체를 — Kubernetes 코어부터 Prometheus·Istio·Cilium·Argo·OpenTelemetry·Backstage·Kyverno까지 — 체계적으로, 빠짐없이 훑게 된다는 것이다.

평소엔 안 한다. "언젠가 Cilium 깊게 봐야지", "Backstage 한 번 써봐야지" 하고 미룬다. 자격증은 그 미룸을 끝내는 강제 장치다. 그리고 핸즈온 5종은 — 외워서는 못 푸는 시험은 — 실제로 손을 쓰게 만든다.

순서대로, 핸즈온과 객관식을 섞어, 6~12개월. 끝내고 나면 자격증 16개보다 클라우드 네이티브 전 영역의 멘탈 모델이 남는다. 그게 진짜 보상이다.

학습 체크리스트

1. KCNA로 생태계 전체 지도를 먼저 그렸는가?
2. 핸즈온 5종(CKA·CKAD·CKS·CNPE·LFCS)과 객관식 11종을 구분해 일정을 짰는가?
3. kubectl 별칭·자동완성·--dry-run이 손에 익었는가?
4. etcd 백업/복구, 클러스터 업그레이드를 직접 해봤는가?
5. killer.sh 시뮬레이터를 돌렸는가?
6. CKS 전에 CKA를 통과했는가 (선행 요건)?
7. 프로젝트 8종을 CKA/CKAD/CKS 직후로 배치했는가?
8. 핸즈온과 객관식을 번갈아 배치해 번아웃을 피했는가?
9. CNCF 번들·바우처·KubeCon 할인을 확인했는가?
10. 각 자격증의 유효기간·갱신 정책을 확인했는가?

안티패턴 7가지

1. KCNA 없이 바로 CKA — 생태계 맥락 없이 헤맨다.
2. 핸즈온 시험을 "외워서" 준비 — 절대 안 통한다.
3. 시험 중 한 문제에 매몰 — 플래그 달고 넘어가라.
4. 문제마다 컨텍스트 전환 명령을 안 함 — 엉뚱한 클러스터에 작업.
5. 핸즈온만 연달아 — 번아웃. 객관식으로 회복하라.
6. CKA 미숙한 채 CKS 도전 — 도구가 너무 많아 무너진다.
7. 정가로만 결제 — 번들·세일을 놓치면 큰 손해.

다음 글 예고

다음 글 후보: CKA 시험 실전 워크스루 — etcd 백업부터 클러스터 업그레이드까지, CKS 도구 총정리 — Falco·Trivy·kube-bench·OPA·Kyverno 핸즈온, CNPE를 위한 내부 개발자 플랫폼 구축 — Backstage + Argo + 관측성 스택.

"자격증은 목적지가 아니라 커리큘럼이다. Golden Kubestronaut의 보상은 타이틀이 아니라, 그 과정에서 강제로 배우게 되는 생태계 전체다."

— Golden Kubestronaut 완전 로드맵, 끝.