💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.

원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

들어가며 — 2026년 5월, 클라우드 보안은 "공급망 + 런타임"이 중심으로 옮겨졌다

2024년 3월 XZ Utils 백도어(`CVE-2024-3094`)는 클라우드 보안의 화두를 한 번에 바꿔놓았다. "방화벽을 잘 거시면 됩니다"의 시대는 끝났고, 이제 **빌드 시점에 들어오는 악성 코드와 런타임에서 일어나는 이상 행동**이 진짜 위협이 됐다. 2026년 5월 현재 시장도 이 흐름을 따라간다. Wiz는 2025년 200억 달러 IPO 직전 구글 인수 협상 이후 자체 상장으로 방향을 틀었고, Tailscale은 시리즈 C에서 신원 기반 메시 VPN으로 14억 달러 밸류를 찍었고, Sigstore는 CNCF Graduated 단계를 밟았다.

이 글은 마케팅 매트릭스가 아니라 "2026년 프로덕션 클라우드 보안 스택의 7개 레이어"를 정직하게 짚는다. Zero Trust 네트워크 접근(ZTNA), CSPM/CNAPP, SBOM/SLSA 공급망, 런타임 보안, 시크릿/PAM, IaC/정책-as-code, 그리고 거버넌스/컴플라이언스까지 실제 설정 형태와 함께 비교한다.

클라우드 보안 2026 스택 — 7개 레이어로 분해하기

먼저 큰 그림이다. 2026년 표준 클라우드 보안 스택은 다음 7개 레이어로 나뉜다.

1. **네트워크 / Zero Trust(ZTNA)**: VPN 대체, 신원 기반 마이크로세그멘테이션

2. **클라우드 자세 관리(CSPM/CNAPP)**: 잘못 설정된 클라우드 리소스 탐지, 컨테이너 이미지 + 런타임까지 한 화면

3. **공급망 보안(SBOM/SLSA)**: 빌드 산출물의 출처, 무결성, 의존성 가시성

4. **런타임 보안**: 컨테이너/노드 위에서 일어나는 이상 syscall 탐지

5. **시크릿/PAM/IGA**: 비밀번호, API 키, 인증서, 권한 수명주기

6. **IaC + 정책-as-code**: Terraform/K8s 매니페스트 단계의 가드레일

7. **거버넌스/컴플라이언스**: ISMS-P, SOC 2, NIS2, GDPR, 한국 개인정보보호법, 일본 APPI

각 레이어를 한두 도구가 담당하던 시대는 끝났다. **공급망 사고가 ZTNA 정책으로 막히지 않고, 런타임 사고가 CSPM 점수로 잡히지 않는다**. 통합 플랫폼(CNAPP) 흐름이 강해진 이유다. 아래부터 한 레이어씩 본다.

Zero Trust 네트워크 접근(ZTNA) — VPN의 점진적 죽음

Zero Trust의 핵심은 "네트워크 위치를 신뢰하지 않는다"는 한 줄이다. 사용자의 신원, 디바이스 자세, 컨텍스트 기반으로 매 요청을 검증한다. 2026년 5월 시장은 다음과 같이 갈린다.

- **Cloudflare Zero Trust(구 Cloudflare for Teams)**: 글로벌 엣지 기반. 무료 50석 티어가 스타트업 채택을 가속화. WARP 클라이언트, Access(SaaS+self-hosted 앱), Gateway(SWG), Tunnel(reverse proxy)을 한 묶음으로 묶었다.

- **Tailscale**: WireGuard 기반 메시 VPN. 신원은 Okta/Google/Azure AD/GitHub. 코드형 ACL(JSON), tag 기반 서비스 라우팅. 2025년 시리즈 C 이후 SCIM, posture check, key rotation을 강화.

- **Zscaler**: 엔터프라이즈 SASE 시장의 1위. ZIA(인터넷 게이트웨이) + ZPA(앱 접근) + ZDX(디지털 경험). 한국/일본 대기업 비중 큼.

- **Netskope**: SSE/CASB 통합 강자. 데이터 보호(DLP), 클라우드 앱 가시성 차별화.

- **Palo Alto Prisma Access**: Prisma SASE 묶음. Strata Cloud Manager와 통합.

- **Twingate**: Tailscale과 자주 비교됨. agentless 사이드카, NLB 없는 사설 라우팅.

- **OpenZiti**: 100% 오픈소스 ZTNA 패브릭. 자체 호스팅 진영.

- **Boundary(HashiCorp)**: Vault와 직결되는 PAM 친화 ZTNA. SSH/DB/RDP 세션 브로커링이 특기.

선택 기준은 단순하다. **글로벌 엣지 vs 자체 호스팅 vs 메시 신원**의 3축이다. Cloudflare가 글로벌 엣지의 표준, Tailscale이 메시 신원의 표준, OpenZiti/Boundary가 자체 호스팅 진영의 대표다.

Tailscale ACL — 코드형 네트워크 정책의 표준 사례

Tailscale ACL은 JSON 한 파일로 디바이스, 사용자, 태그, 포트 단위 접근을 통제한다. 실제 ACL 예시.

{

"tagOwners": {

"tag:prod-db": ["group:sre"],

"tag:dev-web": ["group:devs"],

"tag:bastion": ["group:sre"]

"groups": {

"group:sre": ["alice@example.com", "bob@example.com"],

"group:devs": ["carol@example.com", "dave@example.com"]

"acls": [

{ "action": "accept", "src": ["group:sre"], "dst": ["tag:prod-db:5432", "tag:bastion:22"] },

{ "action": "accept", "src": ["group:devs"], "dst": ["tag:dev-web:80,443"] }

"ssh": [

{ "action": "accept", "src": ["group:sre"], "dst": ["tag:bastion"], "users": ["root", "ubuntu"] }

"nodeAttrs": [

{ "target": ["group:sre"], "attr": ["funnel"] }

]

}

이 ACL의 가치는 **PR 리뷰 가능한 네트워크 정책**이라는 점이다. Git에 올리고, 변경 시 Slack에서 리뷰하고, 머지하면 적용된다. 전통 방화벽 룰의 "Excel 시트 기반 변경관리"는 더 이상 답이 아니다.

CSPM에서 CNAPP로 — Wiz, Orca, Prisma Cloud의 통합 전쟁

CSPM(Cloud Security Posture Management)은 원래 "잘못 설정된 S3 버킷 찾기"였다. 2026년에는 그 자리가 **CNAPP(Cloud-Native Application Protection Platform)**으로 옮겨갔다. 한 플랫폼에서 IaC 스캔 → 빌드 → 레지스트리 → 런타임 → 데이터까지 본다는 통합 흐름이다.

- **Wiz**: 2020년 창업, 2025년 가치 200억 달러 이상. agentless 스캔이 차별점. Wiz Code(IaC), Wiz Cloud(자세), Wiz Defend(런타임)으로 라인업 분화.

- **Orca Security**: SideScanning 특허. 클라우드 API만으로 스냅샷 분석.

- **Lacework**: Polygraph 기반 동작 분석. Fortinet 인수 이후 SASE 묶음에 들어감.

- **Prisma Cloud(Palo Alto)**: 옛 RedLock, PureSec, Twistlock, Bridgecrew 통합. 규모는 가장 크다.

- **Sysdig Secure**: Falco 본가. 런타임 + CSPM 묶음. 컨테이너 진영에 강함.

- **Aqua Security**: 컨테이너/쿠버네티스 보안의 원조. Trivy의 본가.

- **Snyk Cloud**: 개발자 우선 포지셔닝. Snyk Code/Open Source/Container/IaC와 한 묶음.

- **Tenable Cloud Security**: 옛 Ermetic 인수. CIEM(권한 분석)이 강점.

- **Microsoft Defender for Cloud**: Azure 네이티브 + 멀티클라우드 확장.

- **AWS Security Hub**: GuardDuty, Inspector, Macie와 한 화면. 멀티클라우드는 약함.

- **GCP Security Command Center**: 무료 SCC Standard와 유료 Premium.

- **Lookout / Datadog Cloud Security**: 새 진입자. 모바일/관측성 강점.

선택 기준은 **agentless vs agent-based, 멀티클라우드 깊이, IaC 통합**이다. Wiz가 agentless의 표준, Sysdig/Aqua가 agent-based 런타임 진영의 강자, Snyk가 개발자 친화의 대표다.

SBOM의 시대 — CycloneDX와 SPDX, 그리고 미국 행정명령 14028

SBOM(Software Bill of Materials)은 2021년 미국 행정명령 14028 이후 모든 정부 조달 소프트웨어의 필수 산출물이 됐다. 2024년 NIST SP 800-218(SSDF)이 2.0으로 개정되며 SBOM 요구가 더 구체화됐고, 2025년에는 EU NIS2와 한국 ISMS-P 인증의 부속 가이드까지 SBOM 의무화 흐름에 합류했다. 일본 METI도 2024년 8월 "OSS 활용 시 SBOM 작성 가이드" 2.0판을 공개했다.

표준은 사실상 둘이다.

- **CycloneDX**: OWASP 산하. 보안 진영이 주도. VEX(Vulnerability Exploitability eXchange) 통합, SaaSBOM, AI/ML 모델 BOM 지원이 차별점.

- **SPDX 3.0**: Linux Foundation 산하. 라이선스 진영이 주도. SPDX 3.0(ISO/IEC 5962:2021)에서 보안 프로파일이 추가되며 두 표준의 격차가 줄었다.

생성 도구는 사실상 4개로 압축된다.

- **Syft(Anchore)**: 이미지/디렉터리에서 SBOM 추출. CycloneDX/SPDX 양쪽 출력.

- **Trivy(Aqua)**: 스캔과 SBOM을 한 묶음. CycloneDX/SPDX/Trivy 자체 포맷.

- **cdxgen(CycloneDX 공식)**: 다언어 지원. SaaSBOM, Operations BOM까지.

- **GitHub dependency-graph 기반 export**: GitHub Advanced Security가 자동 SBOM 출력.

CycloneDX JSON SBOM의 최소 형태는 다음과 같다.

{

"bomFormat": "CycloneDX",

"specVersion": "1.6",

"serialNumber": "urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79",

"version": 1,

"metadata": {

"timestamp": "2026-05-16T09:00:00Z",

"tools": [{ "vendor": "Anchore", "name": "syft", "version": "1.20.0" }],

"component": {

"type": "application",

"name": "checkout-api",

"version": "1.42.0"

}

"components": [

{

"type": "library",

"name": "express",

"version": "4.21.2",

"purl": "pkg:npm/express@4.21.2"

{

"type": "library",

"name": "left-pad",

"version": "1.3.0",

"purl": "pkg:npm/left-pad@1.3.0"

}

]

}

SBOM의 가치는 단순하다. **새 CVE가 떴을 때 영향 범위를 5분 안에 답할 수 있느냐**다. Log4Shell, XZ Utils, 그리고 2025년 npm 타이포스쿼팅 사태에서 SBOM이 있던 조직과 없던 조직의 격차는 시간 단위가 아니라 일 단위였다.

SLSA 프레임워크와 in-toto — 빌드 출처의 표준

SLSA(Supply-chain Levels for Software Artifacts)는 OpenSSF가 주도하는 빌드 무결성 프레임워크다. 2026년 현재 v1.0이 안정 단계, v1.1이 RC다. 핵심은 4단계 레벨.

- **SLSA L1**: 빌드 프로세스 문서화

- **SLSA L2**: 호스팅된 빌드 + 서명된 provenance

- **SLSA L3**: 빌드 격리(non-falsifiable provenance)

- **SLSA L4**: hermetic, reproducible 빌드

가장 흔한 출처(provenance) 포맷은 **in-toto attestation**이다. predicate type별로 SLSA provenance, SBOM, Vuln, SCAI 등을 표준화한다. 2025년 IETF SCITT(Supply Chain Integrity, Transparency, and Trust) 워킹그룹이 SBOM/attestation 트랜스페어런시 서비스의 RFC 초안을 공개했고, 2026년 1분기에 WG Last Call에 들어갔다.

표준 in-toto provenance 예시는 다음과 같다.

{

"_type": "https://in-toto.io/Statement/v1",

"subject": [{

"name": "ghcr.io/acme/checkout-api",

"digest": { "sha256": "abc123def456..." }

}],

"predicateType": "https://slsa.dev/provenance/v1",

"predicate": {

"buildDefinition": {

"buildType": "https://slsa-framework.github.io/github-actions-buildtypes/workflow/v1",

"externalParameters": {

"workflow": {

"ref": "refs/tags/v1.42.0",

"repository": "https://github.com/acme/checkout-api",

"path": ".github/workflows/release.yml"

}

"runDetails": {

"builder": { "id": "https://github.com/actions/runner/v2" },

"metadata": { "invocationId": "https://github.com/acme/checkout-api/actions/runs/12345" }

}

Sigstore — 서명, 투명성 로그, 키리스의 표준

Sigstore는 2021년 Linux Foundation 산하로 시작해 2024년 CNCF Graduated 단계에 오른 공급망 서명 프로젝트다. 세 컴포넌트로 구성된다.

- **cosign**: 컨테이너 이미지/SBOM/blob 서명 CLI

- **Fulcio**: 키리스(keyless) OIDC 기반 단기 인증서 발급 CA

- **Rekor**: append-only 투명성 로그(transparency log)

핵심은 **키리스 서명**이다. 개발자는 개인 키를 저장할 필요 없이 OIDC ID 토큰(GitHub Actions, Google, Microsoft)으로 Fulcio에 서명 요청을 보내고, Fulcio가 단기 X.509 인증서를 발급한다. 서명은 Rekor에 기록되고 Rekor는 머클 트리로 위변조를 차단한다.

cosign 사용 흐름은 다음과 같다.

1) 키리스 서명 (GitHub Actions OIDC)

cosign sign \

--identity-token "$ACTIONS_ID_TOKEN" \

ghcr.io/acme/checkout-api@sha256:abc123def456

2) SBOM을 attestation으로 부착

cosign attest \

--predicate sbom.cdx.json \

--type cyclonedx \

ghcr.io/acme/checkout-api@sha256:abc123def456

3) 검증 (배포 시점)

cosign verify \

--certificate-identity "https://github.com/acme/checkout-api/.github/workflows/release.yml@refs/tags/v1.42.0" \

--certificate-oidc-issuer "https://token.actions.githubusercontent.com" \

ghcr.io/acme/checkout-api@sha256:abc123def456

2024년 XZ Utils 백도어 이후 GitHub Actions, GitLab CI, npm, PyPI가 빠른 속도로 Sigstore 통합을 늘리고 있다. npm은 2023년부터 `npm publish --provenance`로 Sigstore provenance를 발급해왔고, 2026년 1분기 기준 상위 1000개 패키지 중 60% 이상이 provenance를 갖고 있다.

GUAC — SBOM 그래프 데이터베이스

SBOM과 attestation을 모았으면, 다음 질문은 "어떻게 질의할 것인가"다. 1만 개 마이크로서비스에 흩어진 SBOM을 grep으로 뒤지는 건 답이 아니다. GUAC(Graph for Understanding Artifact Composition)이 2023년 등장한 이유다.

- 입력: SBOM(CycloneDX/SPDX), in-toto attestation, SLSA provenance, Sigstore Rekor 로그

- 저장: Neo4j 같은 그래프 DB(또는 ArangoDB, PostgreSQL)

- 출력: GraphQL API + CLI

전형적 질문 예시.

- "Log4j 2.17.1 이하 버전을 쓰는 컨테이너 이미지를 모두 찾아라"

- "Sigstore 서명이 없는 프로덕션 디플로이를 찾아라"

- "이 npm 패키지의 직간접 의존성 중 평균 별점 1점 이하 패키지를 찾아라"

GUAC는 2026년 5월 v1.0 GA를 앞두고 있고, Kusari가 상용 매니지드 서비스를 제공한다. Dependency-Track(OWASP)이 SBOM 인덱싱 진영의 또 다른 선택지다.

Trivy 이미지 스캔 — 가장 많이 쓰이는 OSS 스캐너

Trivy는 Aqua Security가 만든 OSS 스캐너로, 컨테이너 이미지, 파일시스템, Git 저장소, K8s 매니페스트, Terraform 등을 한 도구로 본다. 2026년 5월 기준 GitHub 23k stars, K8s 진영의 사실상 표준이다.

이미지 스캔 (CVE + 라이선스 + 시크릿 + 잘못된 설정)

trivy image \

--severity HIGH,CRITICAL \

--ignore-unfixed \

--format sarif \

--output trivy.sarif \

ghcr.io/acme/checkout-api:v1.42.0

SBOM 생성 (CycloneDX)

trivy image \

--format cyclonedx \

--output sbom.cdx.json \

ghcr.io/acme/checkout-api:v1.42.0

Terraform 정책 검사

trivy config ./infra/terraform

Kubernetes 클러스터 자세

trivy k8s --report summary cluster

대안 진영도 단단하다. **Grype(Anchore)**는 Syft와 짝을 이뤄 SBOM-우선 워크플로의 표준이고, **Snyk Container**는 개발자 UX 우선, **Anchore Enterprise**는 정책 엔진 강자다. **OSV-Scanner(Google)**는 OSV.dev 데이터셋 기반으로 정확한 매칭이 강점이다.

런타임 보안 — Falco vs Tetragon, eBPF의 시대

런타임 보안은 "이미 배포된 컨테이너 안에서 일어나는 이상 행동"을 본다. 2026년 5월 기준 두 진영이 갈린다.

- **Falco(CNCF Graduated)**: Sysdig가 만들고 2024년 1월 CNCF Graduated. libsbpf 기반 eBPF 드라이버. 룰 기반 탐지.

- **Tetragon(Isovalent/Cisco)**: Cilium 본가. eBPF + LSM 훅. 정책 강제(enforcement)까지.

- **KubeArmor**: AccuKnox 주도. LSM(AppArmor, BPF-LSM) 기반.

- **Calico Enterprise / Calico Cloud(Tigera)**: 네트워크 정책 + 런타임 결합.

- **Datadog Cloud Security**: SaaS 우선 런타임 보안. Datadog 관측성과 통합.

Falco 룰은 YAML로 작성한다. "컨테이너 안에서 셸이 떴다"를 잡는 룰 예시.

- rule: Terminal Shell In Container

desc: A shell was spawned by a container with an attached terminal.

condition: >

spawned_process and container

and shell_procs and proc.tty != 0

and container_entrypoint and not user_expected_terminal_shell_in_container_conditions

output: >

A shell was spawned in a container with an attached terminal

(user=%user.name container_id=%container.id container_name=%container.name

shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline)

priority: NOTICE

tags: [container, shell, mitre_execution]

Tetragon은 비슷한 정책을 정책-as-code(K8s CRD)로 쓰고, 더 나아가 LSM 훅에서 차단까지 한다. Falco가 탐지 진영의 표준, Tetragon이 탐지+차단 진영의 신예다.

시크릿 관리 — Vault, Doppler, Infisical

시크릿은 보안의 가장 흔한 사고 지점이다. 2024년 GitGuardian의 State of Secrets Sprawl 보고서에 따르면 GitHub 공개 저장소에 노출된 시크릿은 1,290만 건이었고, 2025년에는 1,740만 건으로 늘었다. 관리 도구의 선택지는 다음과 같다.

- **HashiCorp Vault**: 사실상 표준. 2024년 IBM 인수 이후 라이선스 변경(BSL)이 논란이었지만, 시장 점유는 여전히 1위. 동적 시크릿(DB 계정 자동 발급), Transit(EaaS), PKI, KV가 핵심 시크릿 엔진.

- **OpenBao**: Vault BSL 전환에 대응한 Linux Foundation OSS 포크. 2025년 v2.0이 GA.

- **AWS Secrets Manager / SSM Parameter Store / GCP Secret Manager / Azure Key Vault**: 클라우드 네이티브 진영. 단일 클라우드면 충분하다.

- **Doppler**: 개발자 UX 우선. .env 파일 동기화에서 시작.

- **Infisical**: OSS + SaaS. Doppler의 OSS 대안.

- **AKEYLESS**: KMS-as-a-Service 포지셔닝. 분산 fragments 기반 키 관리(DFC).

- **CyberArk Conjur**: 엔터프라이즈 PAM 본가. K8s/CI 친화 OSS 라인업.

PAM(Privileged Access Management) / IGA(Identity Governance & Administration) 영역은 별도 시장이다.

- **CyberArk**: PAM 1위. EPM(Endpoint Privilege Manager) 묶음.

- **BeyondTrust**: PAM 2위. Password Safe, Privileged Remote Access.

- **Delinea(Thycotic + Centrify 합병)**: PAM 3위.

- **SailPoint / Saviynt / Okta**: IGA + 신원.

Vault 동적 시크릿 — 정적 시크릿의 종말

Vault의 핵심 가치는 "시크릿을 미리 만들어두지 않고, 필요할 때 발급한다"이다. PostgreSQL 사용자/비밀번호를 매 요청마다 새로 발급하고 TTL이 끝나면 자동 폐기한다.

vault 서버 설정 (HCL)

storage "raft" {

path = "/vault/data"

node_id = "vault-1"

}

listener "tcp" {

address = "0.0.0.0:8200"

tls_cert_file = "/etc/vault/tls/cert.pem"

tls_key_file = "/etc/vault/tls/key.pem"

}

seal "awskms" {

region = "ap-northeast-2"

kms_key_id = "alias/vault-unseal"

}

api_addr = "https://vault.internal:8200"

cluster_addr = "https://vault.internal:8201"

ui = true

1) DB 시크릿 엔진 활성화

vault secrets enable database

2) PostgreSQL 연결 등록

vault write database/config/checkout-db \

plugin_name=postgresql-database-plugin \

allowed_roles="readonly,readwrite" \

connection_url="postgresql://{{username}}:{{password}}@db.internal:5432/checkout" \

username="vault-admin" \

password="$ADMIN_PW"

3) 역할 정의 (TTL 1시간)

vault write database/roles/readonly \

db_name=checkout-db \

creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \

default_ttl="1h" \

max_ttl="24h"

4) 사용자 발급

vault read database/creds/readonly

발급된 사용자는 TTL 종료와 함께 자동 폐기된다. 시크릿이 Git, 위키, Slack에 새도 1시간 후엔 무효다. 이게 Zero Trust 시크릿 모델의 본질이다.

IaC 스캔 — Checkov, tfsec, KICS, Terrascan

Terraform/CloudFormation/K8s 매니페스트는 빌드 산출물이지만 동시에 "코드"다. 코드는 스캔할 수 있다.

- **Checkov(Bridgecrew→Palo Alto)**: 가장 널리 쓰이는 OSS. Terraform, CloudFormation, K8s, ARM, Bicep, Helm, Dockerfile, Kustomize까지.

- **tfsec(Aqua)**: Trivy로 합쳐졌지만 단독 CLI도 유지.

- **KICS(Checkmarx)**: 200+ 스캔 룰. 멀티 IaC.

- **Terrascan(Tenable)**: OPA Rego 기반 정책 엔진.

- **Snyk IaC**: 개발자 친화. Snyk 묶음의 일부.

Checkov 실행은 한 줄이다.

checkov -d ./infra/terraform \

--framework terraform \

--output sarif \

--output-file-path checkov.sarif \

--skip-check CKV_AWS_79

대표적 잘못된 설정 패턴 3개.

- S3 버킷 public-read ACL (CKV_AWS_20)

- RDS storage encryption 미사용 (CKV_AWS_17)

- 보안 그룹의 0.0.0.0/0 22번 포트 개방 (CKV_AWS_24)

이 세 가지는 거의 모든 사고 보고서의 1, 2, 3번이다.

정책-as-code — OPA Gatekeeper, Kyverno, Conftest, Cedar

K8s 클러스터에 들어가는 모든 리소스를 admission webhook 단계에서 검증하는 게 정책-as-code 흐름이다.

- **OPA(Open Policy Agent) + Gatekeeper**: CNCF Graduated. Rego DSL.

- **Kyverno**: YAML 기반. OPA보다 학습 곡선이 낮다.

- **Conftest**: OPA Rego를 CI/CD에서 돌리는 CLI.

- **Cedar(AWS)**: AWS Verified Permissions/Cedar 정책 언어. 2023년 오픈소스로 풀렸다.

OPA Rego로 "모든 디플로이는 리소스 limits를 가져야 한다"를 강제하는 정책.

apiVersion: templates.gatekeeper.sh/v1

kind: ConstraintTemplate

metadata:

name: k8srequiredresources

spec:

crd:

spec:

names:

kind: K8sRequiredResources

targets:

- target: admission.k8s.gatekeeper.sh

rego: |

package k8srequiredresources

violation[{"msg": msg}] {

container := input.review.object.spec.template.spec.containers[_]

not container.resources.limits.cpu

msg := sprintf("container %v missing cpu limits", [container.name])

}

violation[{"msg": msg}] {

container := input.review.object.spec.template.spec.containers[_]

not container.resources.limits.memory

msg := sprintf("container %v missing memory limits", [container.name])

}

Kyverno로 같은 정책은 더 짧다. YAML 한 파일이면 끝난다. OPA가 표현력, Kyverno가 가독성이라는 정설은 2026년에도 유효하다.

시크릿 스캐닝 — gitleaks, truffleHog, GitGuardian

코드/커밋/이미지에서 노출된 시크릿을 찾는 영역이다.

- **gitleaks**: OSS 1위. pre-commit hook + CI 친화.

- **truffleHog**: SourceAgent 진영의 OSS. 검증(verified) 시크릿 분류가 차별점.

- **GitGuardian**: SaaS 1위. 1,000개 이상 시크릿 유형 탐지, 자동 차단(Honeytoken).

- **Spectral(Checkpoint 인수)**: IaC + 시크릿 + SBOM 통합 SaaS.

운영 흐름은 pre-commit + CI + 정기 스캔(weekly full-history)의 3중이다.

SAST/DAST와 SCA — GitHub Advanced Security, Snyk, FOSSA, Mend

코드 자체의 보안 결함을 보는 SAST(Static), 실행 중 앱을 보는 DAST(Dynamic), 오픈소스 의존성을 보는 SCA(Software Composition Analysis)는 별도 시장이다.

- **GitHub Advanced Security**: CodeQL(SAST) + Dependabot(SCA) + Secret Scanning. GitHub 사용자라면 가장 자연스러운 선택.

- **GitLab Dependency Scanning**: GitLab Ultimate 묶음.

- **Snyk**: 개발자 우선. Snyk Code(SAST) + Open Source(SCA) + Container + IaC.

- **FOSSA**: 라이선스 컴플라이언스 강자. M&A 실사에서 자주 등장.

- **Mend(구 WhiteSource)**: SCA 시장 초기 강자. 엔터프라이즈 라이선스 분석.

- **Sonatype Lifecycle / Nexus IQ**: Maven Central의 본가. 엔터프라이즈 SCA.

- **Veracode / Checkmarx**: 엔터프라이즈 SAST 진영.

2026년 흐름은 단순하다. **GitHub에 자연스럽게 통합되는 도구를 쓰거나, Snyk처럼 멀티-VCS를 가는 도구를 쓰거나** 둘 중 하나다.

CSPM/CNAPP 도구 매트릭스 — 2026년 5월 기준

선택의 실용적 기준을 표로 정리한다.

| ----------------------- | --------- | ------------ | -------- | ------ | ---- | ---------------- |

| Wiz | agentless | AWS/Azure/GCP/OCI | 강 | Wiz Defend | 강 | 중상 |

| Orca Security | agentless | AWS/Azure/GCP | 중 | 중 | 강 | 중상 |

| Prisma Cloud | both | AWS/Azure/GCP/OCI/Alibaba | 강 | 강 | 강 | 상 |

| Sysdig Secure | agent | AWS/Azure/GCP | 중 | 매우 강(Falco) | 중 | 중 |

| Aqua Security | agent | AWS/Azure/GCP | 강 | 강 | 중 | 중상 |

| Snyk Cloud | agent | AWS/Azure/GCP | 강 | 약 | 중 | 중 |

| Defender for Cloud | agent | Azure 우선 | 중 | 중 | 중 | 가성비 |

| AWS Security Hub | n/a | AWS only | 약 | n/a | n/a | 무료 + 사용량 |

| GCP SCC | n/a | GCP only | 약 | n/a | n/a | 무료 + Premium |

| Lacework FortiCNAPP | agent | AWS/Azure/GCP | 중 | 중 | 중 | 중 |

| Tenable Cloud Security | agentless | AWS/Azure/GCP | 중 | 약 | 매우 강 | 중 |

선택은 **이미 쓰는 EDR/SIEM과의 통합, 멀티클라우드 깊이, 가격, agentless 선호 여부**로 좁힌다.

ZTNA 도구 비교 — 글로벌 엣지 vs 메시 vs 자체 호스팅

ZTNA도 같은 방식으로 정리한다.

| 도구 | 모델 | 무료 티어 | 신원 통합 | 자체 호스팅 | 강점 |

| --------------------- | ---------- | --------- | --------- | ----------- | ---- |

| OpenZiti | 메시 | 100% OSS | SAML/OIDC | 완전 | 자체 호스팅 |

**Cloudflare Zero Trust + Tailscale**의 조합이 2026년 SMB의 표준 답이다. Cloudflare가 외부→내부 SaaS/앱 접근, Tailscale이 내부→내부 디바이스/서비스 메시.

한국 / 일본 / EU 컴플라이언스 — 2026년 변화

법규 측면도 빠르게 움직이고 있다.

- **한국 ISMS-P**: 2024년 12월 개정안에서 SBOM 관리 항목이 부속서로 명시됐다. 2025년 7월 시행. 공급망 보안 통제(2.10.1) 항목이 신설됐다.

- **한국 개인정보보호법**: 2023년 9월 개정안 시행 이후 가명정보, 이동권, 자동화된 결정 거부권이 추가됐다. 2026년 EU GDPR 동등성 결정이 한국에 적용 중.

- **일본 APPI**: 2024년 4월 개정안 시행. 가명/익명 가공정보, 외국 사업자 보고 의무 강화. 2026년 4월 추가 개정으로 데이터 브로커 등록제 도입.

- **일본 METI SBOM 가이드라인**: 2024년 8월 2.0판, 2026년 2월 3.0판. 제조업/IoT 우선.

- **EU NIS2**: 2024년 10월 EU 회원국 시행. 18개 산업의 "필수/중요" 사업자에게 ICT 공급망 보안 의무를 부과. SBOM, 사고 통보 24시간, 패치 SLA가 핵심.

- **EU CRA(Cyber Resilience Act)**: 2024년 12월 발효, 2027년 12월 본격 적용. 디지털 요소가 있는 모든 제품에 SBOM 의무화.

- **미국 행정명령 14028**: 2021년부터 연방 조달 SBOM 요구. 2025년 NIST SP 800-218 SSDF 2.0.

- **PCI DSS 4.0**: 2025년 3월 v4.0.1로 마이너 업데이트. SBOM, 인증 강화, 페이먼트 페이지 스크립트 관리(6.4.3)가 핵심.

양자내성암호(PQC) — 2026년의 시작점

2024년 8월 NIST가 ML-KEM(키 교환), ML-DSA(서명), SLH-DSA(해시 기반 서명) 세 알고리즘을 표준으로 확정했다. 2026년 5월 현재 흐름.

- **Cloudflare**: 2024년부터 ML-KEM-768과 X25519-MLKEM768 하이브리드 KEX를 TLS 1.3 핸드셰이크에 기본 적용. 2026년 1분기 기준 트래픽의 35%가 PQC 하이브리드.

- **Google**: Chrome 124(2024년 4월)부터 X25519MLKEM768 기본 활성.

- **AWS KMS**: 2024년 9월부터 ML-DSA 서명 지원.

- **OpenSSH**: 9.0부터 sntrup761x25519 하이브리드. 9.9(2024년 9월)에서 ML-KEM 추가.

CRA의 SBOM 의무화와 PQC 전환이 2026~2028년 사이에 동시에 진행된다. SBOM에 "이 라이브러리가 어떤 암호 프리미티브를 쓰는가"를 기록하는 CBOM(Cryptographic Bill of Materials)이 CycloneDX 1.6에 추가된 이유다.

2025년 npm 타이포스쿼팅 사태와 supply-chain 위협 지도

2025년 한 해 동안 npm 진영에서 발생한 주요 공급망 사고.

- **2025년 1월**: `eslint-config-prettier`의 변형 7종 타이포스쿼팅, 누적 다운로드 230만 건.

- **2025년 4월**: `lottie-player` 손상(compromise) 사고. 정상 패키지의 비밀번호 탈취 페이로드 삽입. CDN 캐시 무효화에 36시간.

- **2025년 6월**: PyPI에서 `colorama`/`requests`의 64개 타이포스쿼팅 변형 일괄 적발.

- **2025년 9월**: Solana SDK 모방 npm 패키지에서 지갑 키 탈취. 피해액 80만 달러.

- **2025년 11월**: GitHub Actions 워크플로의 `pull_request_target` 오용으로 인한 시크릿 유출 사고 24건.

대응의 표준은 단순하다. **lockfile + 무결성 해시 + Sigstore 검증 + 변경 격리 빌드**. 추가로 npm은 2026년 1월부터 `--require-provenance` 플래그를 기본 활성화하는 방향을 발표했다.

표준 빌드 파이프라인 — 2026년의 "안전한 빌드" 그림

마지막으로 모든 걸 합친 표준 파이프라인을 정리한다.

1. **PR 단계**: gitleaks, Snyk Code/CodeQL, Checkov, dependency review action

2. **빌드 단계**: hermetic 컨테이너 빌드, SLSA L3 빌더(GitHub-hosted runner + reusable workflow)

3. **산출물 단계**: cosign 키리스 서명, SBOM 첨부(CycloneDX), SLSA provenance attestation

4. **레지스트리**: GHCR/ECR with immutable tags, Sigstore 서명 정책

5. **배포 단계**: K8s admission webhook(OPA/Kyverno)이 서명+provenance 없으면 거부

6. **런타임 단계**: Falco/Tetragon 룰, CSPM(Wiz/Sysdig)이 자세 + drift 감시

7. **사고 대응**: SBOM 인덱스(GUAC/Dependency-Track)로 영향 범위 5분 내 답변

이 7단계를 모두 갖춘 조직은 2026년 5월 기준 글로벌 톱 1% 정도다. 다만 1~3단계는 OSS만으로 가능하고, 4~6단계는 클라우드 네이티브 + CNAPP 하나면 된다.

마치며 — 2026년 클라우드 보안의 한 줄 요약

2026년 클라우드 보안의 정수는 한 줄로 정리된다. **"방화벽 안에서 일어나는 일이 더 무섭다."** XZ Utils 백도어는 빌드 시점에 들어왔고, 2025년 npm 타이포스쿼팅은 의존성 트리 깊은 곳에서 일어났고, 그 어떤 SBOM 없는 조직도 영향 범위를 즉시 답하지 못했다.

답은 단순하다.

- **Zero Trust**로 네트워크 신뢰를 없애고

- **CNAPP**로 클라우드 자세를 한 화면에 모으고

- **SBOM + SLSA + Sigstore**로 빌드 산출물을 검증하고

- **Falco/Tetragon**으로 런타임 이상을 잡고

- **Vault**로 시크릿을 수명 관리하고

- **OPA/Kyverno**로 배포 단계의 가드레일을 두고

- **GUAC/Dependency-Track**으로 사고 시 5분 답변을 만든다

도구는 많고, 표준은 갖춰졌고, 남은 건 실행이다.

References

- Tailscale: [tailscale.com](https://tailscale.com)

- Cloudflare Zero Trust: [cloudflare.com/zero-trust](https://www.cloudflare.com/zero-trust/)

- Wiz: [wiz.io](https://www.wiz.io)

- Sigstore cosign: [github.com/sigstore/cosign](https://github.com/sigstore/cosign)

- SLSA framework: [slsa.dev](https://slsa.dev)

- CycloneDX: [cyclonedx.org](https://cyclonedx.org)

- SPDX: [spdx.dev](https://spdx.dev)

- Trivy: [github.com/aquasecurity/trivy](https://github.com/aquasecurity/trivy)

- Falco: [github.com/falcosecurity/falco](https://github.com/falcosecurity/falco)

- Tetragon: [github.com/cilium/tetragon](https://github.com/cilium/tetragon)

- Open Policy Agent: [openpolicyagent.org](https://www.openpolicyagent.org)

- OpenSSF: [openssf.org](https://openssf.org)

- CISA KEV catalog: [cisa.gov/known-exploited-vulnerabilities-catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)

- NIST CSRC: [csrc.nist.gov](https://csrc.nist.gov)

- IETF SCITT: [ietf.org/doc/draft-ietf-scitt-architecture](https://datatracker.ietf.org/doc/draft-ietf-scitt-architecture/)