💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.

원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

들어가며 — 2026년 5월, Kubestronaut는 "클라우드 네이티브 졸업장"이 됐다

2024년 1월 KubeCon Paris에서 처음 발표된 Kubestronaut 프로그램은 2026년 5월 현재 전 세계 **20,000명**을 돌파했다. CKA, CKAD, CKS, KCNA, KCSA 다섯 자격을 모두 동시에 유효 상태로 유지하는 사람만이 받을 수 있는 이 호칭은, 2년 전만 해도 "그냥 멋진 패치"였지만 이제는 **시니어 SRE/플랫폼 엔지니어 채용 공고에서 우대 사항으로 등장**할 만큼 무게가 실렸다.

게다가 2025년 하반기 CNCF가 도입한 **Golden Kubestronaut**(모든 현존 CNCF 자격증을 한 번에 보유) 트랙과 6종 이상 어소시에이트 자격증의 라인업까지 더해지면서, 클라우드 네이티브 인증은 본격적인 "사다리"가 됐다. 이 글은 마케팅 페이지가 아니라 실제 시험 환경, 출제 패턴, 준비 시간, 그리고 연봉 임팩트까지 정직하게 정리한다.

Kubestronaut 프로그램 한눈에 — 무엇을, 왜, 어떻게

Kubestronaut 호칭은 CNCF가 운영하고 Linux Foundation이 시험을 시행하는 5종 핵심 자격증을 **모두 동시에 유효 상태**로 가지고 있을 때 부여된다. 자격증 하나의 유효기간은 보통 2년이며, 2026년 5월부로 모든 시험은 PSI Bridge 기반 원격 감독(Online Proctoring) 형태다.

- **CKA** — Certified Kubernetes Administrator. 클러스터 관리자 트랙.

- **CKAD** — Certified Kubernetes Application Developer. 앱 개발자 트랙.

- **CKS** — Certified Kubernetes Security Specialist. 보안 트랙. CKA 선행 필수.

- **KCNA** — Kubernetes and Cloud Native Associate. 입문 트랙.

- **KCSA** — Kubernetes and Cloud Native Security Associate. 입문 보안 트랙.

Kubestronaut 인증자에게는 매년 1회 무료 CNCF 시험 응시권, 한정판 자켓/패치, 명예의 전당 등재, 그리고 CNCF 행사에서의 별도 라운지 입장권 등이 제공된다. 무료 응시권은 사실상 **연 600 USD 상당의 가치**이므로 단순 명예가 아니라 실용적 혜택이다.

자격증 사다리 — 어소시에이트, 프로페셔널, 특화

CNCF 자격증은 크게 세 단계로 나뉜다.

1. **어소시에이트(Associate)**: KCNA, KCSA, PCA(Prometheus), ICA(Istio), CAPA(Cilium), OTCA(OpenTelemetry), CGOA(Argo). 90분, 객관식. 합격선 75%.

2. **프로페셔널(Professional)**: CKA, CKAD, CKS. 2시간, 핸즈온 터미널. 합격선 CKA/CKAD 66%, CKS 67%.

3. **특화(Specialty)**: CCSCA(Certified Cloud Security Specialist) 등 2026년에 추가된 시니어 트랙.

다음 표가 한눈에 보기 좋다.

| 자격증 | 레벨 | 시간 | 형식 | 합격선 | 응시료(USD) |

| ------ | ---- | ---- | ---- | ------ | ----------- |

| KCNA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| KCSA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| PCA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| ICA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| CAPA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| OTCA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| CGOA | Associate | 90분 | 객관식 60문 | 75% | 250 |

| CKAD | Pro | 2시간 | 핸즈온 터미널 | 66% | 445 |

| CKA | Pro | 2시간 | 핸즈온 터미널 | 66% | 445 |

| CKS | Pro | 2시간 | 핸즈온 터미널 | 67% | 445 |

| CCSCA | Specialty | 2시간 | 핸즈온 터미널 | 67% | 545 |

응시료는 정가 기준이며, KubeCon 시즌과 블랙프라이데이에는 40~50% 할인 쿠폰이 풀린다. Linux Foundation 트레이닝과 함께 사는 번들이면 시험 1회 + 트레이닝 코스가 약 595 USD 선이다.

KCNA — 클라우드 네이티브의 ABC

KCNA는 "쿠버네티스를 왜 쓰는가"부터 시작한다. 출제 비중은 다음과 같다.

- **Kubernetes Fundamentals 46%**: 컨트롤 플레인, 워크로드, 스케줄링, 서비스/네트워킹.

- **Container Orchestration 22%**: 컨테이너 런타임, 보안, 네트워킹.

- **Cloud Native Architecture 16%**: 자율성, 회복성, 마이크로서비스, 서버리스.

- **Cloud Native Observability 8%**: 메트릭, 로그, 트레이스의 차이.

- **Cloud Native Application Delivery 8%**: GitOps, CI/CD.

전형적인 KCNA 문제는 "다음 중 사이드카 패턴의 설명으로 옳은 것은?" 같은 개념형이다. 핸즈온이 없으므로 **CNCF의 무료 문서와 KodeKloud 강의 12~16시간이면 합격**이 일반적이다. KCNA의 진짜 가치는 자격증 자체보다, 이후 CKA를 칠 때 기본 용어를 정리해 준다는 점이다.

KCSA — 클라우드 네이티브 보안의 입문

KCSA는 2023년 후반에 추가된 입문 보안 시험이다. 출제 영역은 다음과 같다.

- **Overview of Cloud Native Security 14%**: 4C(클라우드, 클러스터, 컨테이너, 코드) 모델.

- **Kubernetes Cluster Component Security 22%**: API 서버, etcd, kubelet, kube-proxy 보안.

- **Kubernetes Security Fundamentals 22%**: RBAC, Pod Security Standards, Network Policy, Secret 관리.

- **Kubernetes Threat Model 16%**: 공격 표면 분석.

- **Platform Security 16%**: 공급망, 이미지 서명, 정책 엔진.

- **Compliance and Security Frameworks 10%**: NIST 800-190, MITRE ATT&CK for Containers.

KCSA가 CKS의 "절반"이라고 보면 된다. CKS는 핸즈온 시험인 반면 KCSA는 객관식이므로 개념을 빠르게 정리하기 좋다. KCNA 다음으로 추천하는 두 번째 어소시에이트다.

CKA — 클러스터 관리자 트랙의 정석

CKA는 5종 중 가장 오래된 시험이다. 2024년 9월 V1.31 기준으로 출제 비중이 다음과 같이 개편됐다.

- **Cluster Architecture, Installation and Configuration 25%**

- **Workloads and Scheduling 15%**

- **Services and Networking 20%**

- **Storage 10%**

- **Troubleshooting 30%**

비중에서 보듯 **troubleshooting 30%**가 핵심이다. 다음과 같은 시나리오가 단골이다.

- 노드가 NotReady 상태다. 원인 진단하고 복구하라. (kubelet 서비스, kubeconfig 경로 확인)

- Pod가 Pending 상태다. (Taint/Toleration, Node selector, Resource 부족)

- Service에 연결이 안 된다. (Endpoint, kube-proxy iptables, NetworkPolicy)

- etcd 백업과 복구. (etcdctl snapshot save/restore)

전형적인 CKA 풀이 스킬은 다음과 같다.

alias k=kubectl

export do='--dry-run=client -o yaml'

export now='--grace-period=0 --force'

k create deployment web --image=nginx:1.27 --replicas=3 $do > web.yaml

k apply -f web.yaml

k get pods -A -o wide --sort-by=.spec.nodeName

k describe pod failing-pod | sed -n '/Events/,$p'

k drain node-2 --ignore-daemonsets --delete-emptydir-data

sudo systemctl status kubelet

sudo journalctl -u kubelet -n 200 --no-pager

`alias k=kubectl`과 `export do='--dry-run=client -o yaml'`은 시험장에서 시간을 절약해 주는 표준 매크로다. 2시간 안에 15~20문항을 처리해야 하므로 손가락 자동화가 합격을 좌우한다.

CKAD — 앱 개발자 트랙

CKAD는 클러스터 관리보다 **앱 작성과 배포**에 초점이 있다. 2026년 5월 기준 도메인은 다음과 같다.

- **Application Design and Build 20%**: Job, CronJob, init container, multi-container 패턴.

- **Application Deployment 20%**: Deployment 전략, Helm, Kustomize.

- **Application Observability and Maintenance 15%**: probes, logging, monitoring.

- **Application Environment, Configuration and Security 25%**: ConfigMap, Secret, SecurityContext, ServiceAccount.

- **Services and Networking 20%**: Service, Ingress, NetworkPolicy.

CKAD의 대표 패턴은 Pod 정의 YAML을 dry-run으로 만든 뒤 빠르게 수정하는 것이다.

apiVersion: v1

kind: Pod

metadata:

labels:

app: web

spec:

containers:

- name: web

image: nginx:1.27

ports:

- containerPort: 80

readinessProbe:

httpGet:

path: /

port: 80

initialDelaySeconds: 3

periodSeconds: 5

livenessProbe:

httpGet:

path: /

port: 80

initialDelaySeconds: 10

periodSeconds: 10

resources:

requests:

cpu: 100m

memory: 128Mi

limits:

cpu: 500m

memory: 256Mi

CKA가 "클러스터를 살린다"라면 CKAD는 "잘 동작하는 워크로드를 작성한다"에 가깝다.

CKS — 보안 트랙, 5종 중 가장 어렵다

CKS는 CKA 합격이 응시 전제 조건이다. 2024년 후반 V1.30 커리큘럼 기준 영역은 다음과 같다.

- **Cluster Setup 10%**: CIS Benchmark, kubelet 보안, kube-apiserver 옵션.

- **Cluster Hardening 15%**: 최소 권한 RBAC, ServiceAccount.

- **System Hardening 10%**: 호스트 OS, AppArmor, seccomp.

- **Minimize Microservice Vulnerabilities 20%**: Pod Security Standards, Sandboxing(gVisor, Kata Containers), Secrets.

- **Supply Chain Security 20%**: 이미지 검증, Cosign, SBOM, Admission Controllers.

- **Monitoring, Logging and Runtime Security 20%**: Falco, audit logging.

CKS의 단골 시나리오는 다음과 같다. "주어진 Pod에 gVisor RuntimeClass를 적용하고, 외부 egress를 차단하는 NetworkPolicy를 작성하라."

apiVersion: networking.k8s.io/v1

kind: NetworkPolicy

metadata:

namespace: payments

spec:

podSelector: {}

policyTypes:

- Egress

egress:

- to:

- namespaceSelector:

matchLabels:

tier: data

ports:

- protocol: TCP

port: 5432

apiVersion: node.k8s.io/v1

kind: RuntimeClass

metadata:

handler: runsc

apiVersion: v1

kind: Pod

metadata:

spec:

runtimeClassName: gvisor

containers:

- name: app

image: registry.internal/untrusted/app:1.0

여기에 Falco 룰까지 작성하라는 문제가 따라붙는다. Falco DSL의 기본형은 다음과 같다.

- rule: Shell in Container

desc: Detect interactive shell spawn inside container

condition: >

spawned_process and container and

proc.name in (bash, sh, zsh)

output: >

Interactive shell launched in container

(user=%user.name container=%container.id image=%container.image.repository)

priority: WARNING

tags: [container, shell, mitre_execution]

CKS는 "외워서 푸는" 시험이 아니라 **실제로 Pod Security Standards와 Network Policy, 그리고 Falco 룰을 빈 페이지에서 짜본 경험**이 있어야 통과한다. 평균 준비 시간은 80~120시간이다.

어소시에이트 사다리 — PCA · ICA · CAPA · OTCA · CGOA · CCSCA

2025~2026년에 걸쳐 CNCF는 각 그래듀에이션 프로젝트별로 어소시에이트 자격증을 추가했다.

- **PCA (Prometheus Certified Associate)**: PromQL, recording rule, alerting rule, exporter, federation, remote_write.

- **ICA (Istio Certified Associate)**: VirtualService, DestinationRule, Gateway, AuthorizationPolicy, mTLS, telemetry v2.

- **CAPA (Cilium Associate)**: eBPF 기반 데이터플레인, CiliumNetworkPolicy, Hubble, ClusterMesh.

- **OTCA (OpenTelemetry Certified Associate)**: SDK, Collector, exporters, OTLP, trace/metric/log signal.

- **CGOA (Argo Certified Associate)**: Argo Workflows, Events, Rollouts, CD; GitOps 패턴.

- **CCSCA (Certified Cloud Security Specialist)**: 2026년 추가된 핸즈온 보안 특화. CKS의 상위 호환.

이 어소시에이트는 모두 객관식 60문 / 90분 / 75% 합격선이라 형식이 같다. 각 도구를 실무에서 한 분기 이상 써 본 사람이면 30~50시간 준비로 합격선에 닿는다.

Golden Kubestronaut — 모든 CNCF 자격증 동시 보유

Golden Kubestronaut는 Kubestronaut 5종 + 어소시에이트 6종 + Linux Foundation의 LFCS/LFCT까지 **현존 CNCF 관련 자격증 전부**를 동시에 유효 상태로 보유한 사람에게 부여되는 호칭이다. 2026년 5월 기준 전 세계 보유자는 200명 미만이다.

추가 혜택은 다음과 같다.

- 골드 자켓과 별도 패치.

- KubeCon 메인 키노트 VIP 좌석.

- CNCF Ambassador 자동 추천.

- 매년 모든 자격증 무료 응시권.

Golden Kubestronaut는 실용적 가치보다 **클라우드 네이티브 생태계 내 시그널링**이 본질이다. 대기업 시니어 SRE/플랫폼 엔지니어 채용에서 "이 사람이 정말 깊이 한다"의 빠른 증거로 통한다.

시험 환경 — PSI Bridge, ID 검사, 화이트보드 룰

2024년 후반 Linux Foundation은 시험 시스템을 ExamsLocal에서 **PSI Bridge**로 완전 이전했다. 2026년 5월 현재 모든 CNCF 시험은 PSI Bridge에서 치러지며, 다음 규칙이 적용된다.

- 시험 시작 15분 전부터 체크인 가능. 사진 ID 1종 필수(여권 권장).

- 시험 중 책상에는 컴퓨터, 키보드, 마우스, 물 한 컵만 허용. 종이/펜 금지.

- 화이트보드 기능이 시험 UI에 내장돼 있어 메모는 그쪽에서 한다.

- 카메라로 360도 룸 스캔 필수. 시험 도중 시선 이탈, 외부 소리 감지 시 경고/실격.

- 사용 가능한 외부 자료는 **kubernetes.io, kubernetes.io/blog, github.com/kubernetes**의 공식 도큐먼트 1탭 + 시험 UI 안의 docs 검색뿐.

이 1탭 룰을 모르는 사람이 의외로 많다. 시험 중 새 탭, 새 창을 여는 순간 실격이다. **kubectl 명령어 예제 페이지, 공식 cheat sheet, 도큐먼트 검색을 평소부터 그 1탭 안에서 끝내는 훈련**이 필요하다.

시험 팁 — 2시간 안에 17문항을 푸는 방법

CKA/CKAD/CKS는 모두 핸즈온 터미널 시험이다. 시간 분배가 합격을 좌우한다.

- **첫 5분**: 모든 문항을 훑어보며 점수가 높고 빠른 문항을 표시한다. 점수는 문항 우측에 % 단위로 표시된다.

- **alias 설정 (10초)**: `alias k=kubectl`, `export do='--dry-run=client -o yaml'`, `export now='--grace-period=0 --force'`, `source <(kubectl completion bash)`.

- **vimrc 설정 (20초)**: `~/.vimrc`에 `set ts=2 sw=2 et ai` 한 줄. YAML 들여쓰기가 망가지면 답안이 무효가 된다.

- **kubectl explain 활용**: API 필드명이 기억나지 않으면 `kubectl explain pod.spec.containers --recursive`.

- **컨텍스트 전환 명령**: 문제마다 화면 상단의 컨텍스트 전환 명령이 표시된다. 잘못된 클러스터에서 명령을 친 답안은 0점이다.

- **체크포인트(별도 노트)**: 답을 제출했더라도 끝까지 두 번 재확인. CKS는 정책이 실제 효과를 내는지 검증 명령까지 적어 두자.

평균적으로 **CKA는 17~20문항, CKAD는 14~17문항, CKS는 15~18문항**이 출제되며, 한 문항당 5~9분 안에 끝내야 안전하다.

학습 자료 — Killer Shell, KodeKloud, A Cloud Guru, LF Training

2026년 5월 기준 가장 가성비 높은 학습 경로는 다음 조합이다.

- **Linux Foundation 트레이닝**: 공식 코스. 시험 1회 + 코스 번들이 약 595 USD. 진도는 평이하지만 출제 범위 전체를 빠짐없이 다룬다.

- **KodeKloud**: 한국·인도·미국 모두에서 평이 가장 좋다. 강사 Mumshad Mannambeth의 코스가 사실상 업계 표준.

- **Killer Shell**: Linux Foundation 시험 신청 시 무료 제공되는 시뮬레이터. 실제 시험보다 약 1.3배 어렵다.

- **A Cloud Guru / Pluralsight**: 동영상 중심. CKA보다는 KCNA/KCSA에 좋다.

- **CNCF Curriculum 리포지토리**: 공식 출제 범위 PDF. 매 분기 업데이트.

- **udemy "CKA with Practice Tests"**: KodeKloud의 udemy 판본. 동일 강의를 더 저렴하게 살 수 있다.

추천 순서는 KodeKloud 강의로 개념 정리 → CNCF 공식 출제 범위 PDF로 누락 점검 → Killer Shell 2회 시도. Killer Shell을 80% 이상 풀어내는 사람은 본 시험에서 거의 다 합격한다.

학습 시간 가이드 — 1년차 vs 5년차

현장에서 흔히 묻는 "준비 시간"의 현실적 범위는 다음과 같다.

| 시험 | 1~2년차 | 3~5년차 | 시니어 | 비고 |

| ---- | ------- | ------- | ------ | ---- |

| KCNA | 30~50h | 12~20h | 6~12h | 개념 정리 위주 |

| KCSA | 40~60h | 20~30h | 12~20h | 보안 백그라운드 있으면 절반 |

| CKAD | 80~120h | 40~70h | 25~40h | dry-run + Kustomize 숙달 시간 포함 |

| CKA | 120~160h | 70~100h | 40~60h | 실제 클러스터 troubleshooting 시간 |

| CKS | 100~140h | 70~100h | 50~80h | Falco/OPA/Trivy 실습 포함 |

| PCA | 40~60h | 20~30h | 12~20h | PromQL이 핵심 |

| ICA | 60~80h | 30~50h | 20~30h | mTLS와 트래픽 관리 실습 |

| CAPA | 60~80h | 30~50h | 20~30h | eBPF 개념 + CiliumNetworkPolicy |

| OTCA | 50~70h | 25~40h | 15~25h | Collector 구성 실습 |

| CGOA | 50~70h | 25~40h | 15~25h | Argo CD/Rollouts 실습 |

시간은 "실험 + 강의 + 모의시험"의 합이다. 강의만 들으면 시험장에서 손이 안 따라간다.

한국 커뮤니티 — KCD Seoul, 쿠버네티스 한국 사용자 그룹

한국에서 Kubestronaut 보유자는 2026년 5월 기준 약 380명 선이다. 학습/네트워킹 거점은 다음과 같다.

- **쿠버네티스 한국 사용자 그룹(K8s Korea)**: facebook.com/groups/k8skr, 회원 1.7만 명. 매월 정기 밋업.

- **KCD Seoul**: CNCF 공식 KCD(Kubernetes Community Days) 시리즈의 서울 에디션. 2025년 11월 1,400명 참가.

- **CNCG Seoul/Busan**: 부산/대전 등 지방 거점. 시험 응시 후기 공유가 활발.

- **OpenInfra Day Korea**: 인프라 전반을 다루지만 K8s/CNCF 트랙이 크다.

- **NHN Forward, AWS Community Day, Naver DEVIEW**: 기업 컨퍼런스 안 K8s 트랙.

- **인프런/패스트캠퍼스**: 국내 한국어 강의. 영문 KodeKloud 강의를 한국어로 따라가기 어렵다면 시작점으로 쓸 수 있다.

K8s Korea의 슬랙에는 시험 응시 후 24시간 안에 후기를 올리는 채널이 있어 출제 트렌드를 빠르게 파악할 수 있다. NDA 위반 없이 출제 범위와 난이도 체감만 공유한다.

일본 커뮤니티 — CNDT, KCD Tokyo, JKD

일본은 2018년부터 CloudNative Days Tokyo(CNDT)를 운영해 왔다. 한국보다 1~2년 일찍 클라우드 네이티브 컨퍼런스가 정착했다.

- **Cloud Native Days Tokyo / Summer (CNDT/CNDS)**: 매년 가을과 여름. 2024년 가을 참가자 2,800명.

- **KCD Tokyo**: 2024년에 처음 개최. CNCF 공식 KCD 시리즈.

- **Japan Container Days(JKD)**: CNDT의 전신. 지금도 분과 행사로 살아 있다.

- **Cloud Native Community Japan(CNCJ)**: 통합 운영체. 슬랙 channel `#cncj` 활성.

- **OpenStack Days Tokyo**: K8s 트랙이 핵심.

일본 시장은 SIer 비중이 커서 "Kubestronaut 보유 = 사내 K8s 챔피언" 역할로 빠르게 자리 잡는다. SoftBank, LINE, CyberAgent, ZOZO, Yahoo Japan, Rakuten은 사내 학습 비용 지원 정책이 있어 응시료 환급이 일반적이다.

연봉 효과 — Kubestronaut가 얼마를 더 받게 하는가

자격증 자체가 연봉을 결정하지는 않는다. 다만 다음 데이터는 일관되게 "Kubestronaut 보유자가 동일 경력 미보유자보다 12~22% 더 받는다"를 보여준다.

| 시장 | 1~3년차 | 4~7년차 | 8년차+ | 출처 |

| ---- | ------- | ------- | ------ | ---- |

| 한국 | 6,500~8,500만 원 | 9,500~1.4억 원 | 1.5억 원+ | 잡플래닛 + 원티드 2025 |

| 일본 | 700~900만 엔 | 1,100~1,500만 엔 | 1,600만 엔+ | doda IT/エンジニア 2025 |

CNCF 자체 조사(2024년 CNCF Survey)에 따르면 Kubestronaut 보유자의 67%가 인증 후 12개월 안에 연봉 인상 또는 이직에 성공했다고 응답했다. 다만 응답자 편향이 있을 수 있으니 절대값보다 "+12~22%" 범위를 기준으로 보자.

kubectl 워크플로 — 합격을 결정하는 손가락 자동화

핸즈온 시험에서 합격을 가르는 건 결국 **얼마나 빠르게 답안을 만들어 내느냐**다. 다음 패턴은 외워서 즉시 칠 수 있어야 한다.

Pod / Deployment / Service / Ingress 빠른 생성

k run nginx --image=nginx:1.27 --port=80 $do > pod.yaml

k create deployment api --image=api:1.0 --replicas=3 --port=8080 $do > deploy.yaml

k expose deployment api --port=80 --target-port=8080 --type=ClusterIP $do > svc.yaml

k create ingress api --rule="api.example.com/*=api:80" $do > ing.yaml

Job / CronJob

k create job hello --image=busybox:1.36 -- /bin/sh -c "echo hi; sleep 5" $do > job.yaml

k create cronjob nightly --image=busybox:1.36 --schedule="0 2 * * *" -- /bin/sh -c "echo nightly" $do > cron.yaml

ConfigMap / Secret

k create configmap app-cfg --from-literal=ENV=prod --from-file=app.properties $do > cm.yaml

k create secret generic db-cred --from-literal=DB_USER=app --from-literal=DB_PASS=pa55w0rd $do > secret.yaml

RBAC

k create serviceaccount deployer -n ci

k create clusterrole reader --verb=get,list,watch --resource=pods,deployments $do > role.yaml

k create clusterrolebinding deployer-reader --clusterrole=reader --serviceaccount=ci:deployer $do > rb.yaml

`do`와 `now` 환경 변수, `kubectl explain`, `kubectl get -o jsonpath`까지 합치면 90% 이상의 답안은 손가락에서 흘러나오게 만들 수 있다.

Helm · Kustomize · GitOps — CKAD를 넘는 실무 도구

시험은 kubectl 중심이지만 실무는 그렇지 않다. Helm과 Kustomize, 그리고 Argo CD/Flux는 CNCF 자격증 사다리 전체에서 점차 비중이 늘고 있다.

kustomization.yaml

apiVersion: kustomize.config.k8s.io/v1beta1

kind: Kustomization

namespace: prod

commonLabels:

app: payments

env: prod

resources:

- ../../base

patches:

- target:

kind: Deployment

patch: |-

- op: replace

path: /spec/replicas

value: 8

- op: replace

path: /spec/template/spec/containers/0/image

value: registry.internal/payments:1.42.0

images:

- name: payments

newTag: 1.42.0

configMapGenerator:

- name: payments-cfg

literals:

- ENV=prod

- REGION=apne2

Helm 기본 흐름

helm repo add bitnami https://charts.bitnami.com/bitnami

helm repo update

helm install pg bitnami/postgresql --version 15.5.20 -n data --create-namespace \

--set auth.username=app --set auth.password=pa55w0rd

Argo CD App 정의 (선언적 GitOps)

kubectl apply -n argocd -f - <<'YAML'

apiVersion: argoproj.io/v1alpha1

kind: Application

metadata:

namespace: argocd

spec:

project: default

source:

repoURL: https://github.com/org/payments.git

path: deploy/overlays/prod

targetRevision: main

destination:

server: https://kubernetes.default.svc

namespace: prod

syncPolicy:

automated:

prune: true

selfHeal: true

YAML

CKAD 시험에서 Helm/Kustomize 자체를 깊이 묻지는 않지만, **CGOA(Argo Certified Associate)**와 **OTCA**, 그리고 시니어 실무에선 필수다.

보안 도구 — Falco · OPA Gatekeeper · Kyverno · Trivy

CKS의 단골 도구는 다음 4가지다.

- **Falco**: 런타임 침입 탐지. eBPF 기반 시스템콜 감시.

- **OPA Gatekeeper**: Rego 언어 기반 Admission 정책.

- **Kyverno**: YAML 친화 Admission 정책. 한국어 친화도가 더 높다.

- **Trivy**: 이미지/IaC/SBOM 스캔. Aqua Security.

Kyverno 정책 예시는 다음과 같다.

apiVersion: kyverno.io/v1

kind: ClusterPolicy

metadata:

spec:

validationFailureAction: Enforce

background: true

rules:

- name: check-runAsNonRoot

match:

any:

- resources:

kinds: ["Pod"]

validate:

message: "Pods must set runAsNonRoot=true"

pattern:

spec:

securityContext:

runAsNonRoot: true

이런 정책을 시험장에서 한 번에 짜낼 수 있느냐가 CKS 합격선이다.

관측성 트랙 — Prometheus, OpenTelemetry, Istio

PCA/OTCA/ICA는 사실상 한 묶음이다. 클라우드 네이티브에서 관측 가능성(observability)은 메트릭/트레이스/로그 세 축으로 갈라지고, 각 축의 표준이 Prometheus, OpenTelemetry, OpenSearch/Loki다.

- **PCA**: PromQL 24%, 인스턴스/스크레이프 18%, 알림 18%, 인스트루멘테이션 16%, 운영/배포 14%, 기타 10%.

- **OTCA**: 분산 트레이싱의 개념 22%, OTel Collector 28%, SDK/API 20%, OTLP 12%, 컨벤션 18%.

- **ICA**: 트래픽 관리 30%, 보안 25%, 관측 15%, 인스톨/업그레이드 20%, 커스터마이즈 10%.

PromQL 예시 한 줄이면 PCA의 단골 패턴을 알 수 있다.

1분 평균 요청 율

rate(http_requests_total[1m])

5xx 비율

sum(rate(http_requests_total{code=~"5.."}[5m]))

/ sum(rate(http_requests_total[5m]))

p99 응답 시간

histogram_quantile(0.99,

sum by (le)(rate(http_request_duration_seconds_bucket[5m])))

노드 디스크 임계치

predict_linear(node_filesystem_avail_bytes{mountpoint="/"}[6h], 86400) < 0

이런 표현식을 무리 없이 읽고 쓸 수 있으면 PCA는 거의 합격이다.

응시 일정 짜기 — 6개월에 5종을 따려면

6개월에 Kubestronaut를 따려는 사람을 위한 표준 일정은 다음과 같다.

- **0~4주차**: KCNA. KodeKloud 12시간 + 공식 PDF + Killer Shell-free.

- **5~8주차**: KCSA. KCNA 후 보안 챕터 강화. 30~50시간.

- **9~16주차**: CKAD. 100시간 전후. 매주 토요일 2시간 Killer Shell.

- **17~22주차**: CKA. 120~160시간. 매주 1회 모의시험.

- **23~26주차**: CKS. 100~140시간. CKA 합격 후 즉시 신청해야 신선한 vim/k 손가락이 유지된다.

5종을 동시에 유효 상태로 만들면 자동으로 Kubestronaut 호칭이 부여된다. 보통 인증 처리에 3~5영업일 정도 걸린다.

자주 빠지는 함정 — 시간 관리, 1탭 룰, 답안 검증

마지막으로, 실패의 흔한 패턴 5가지다.

1. **시간 분배 실패**: 첫 문항에 30분을 써서 나머지를 못 푼다. 어려운 문항은 즉시 skip 후 마지막에 돌아간다.

2. **1탭 룰 위반**: kubernetes.io에서 새 탭이 자동으로 열리는 링크가 있다. 항상 같은 탭에서 navigate 해야 한다.

3. **YAML 들여쓰기 깨짐**: vimrc 세팅이 없으면 답안이 통째로 0점. 시험 시작 30초 안에 vimrc 한 줄을 친다.

4. **검증 누락**: 정책 답안을 만들고 실제 효과를 검증하지 않으면 점수가 깎인다. `kubectl auth can-i`, `kubectl run --rm -it test --image=busybox` 같은 검증 명령을 적극 활용한다.

5. **컨텍스트 전환 누락**: 문항마다 클러스터가 바뀐다. 화면 상단의 컨텍스트 명령을 매번 실행하자.

이 5가지만 피해도 합격률이 눈에 띄게 오른다.

결론 — 자격증은 출발선, 진짜 가치는 운영 경험

Kubestronaut는 "이미 잘 하는 사람이 빨리 따는 마라톤"이 아니라 "체계적으로 K8s를 공부하게 만드는 외부 압력"에 가깝다. CKAD/CKA/CKS 세 시험을 통과하는 과정에서 RBAC, Pod Security Standards, NetworkPolicy, 이미지 서명, GitOps, 관측 가능성 등의 표준 개념이 자연스럽게 손에 익는다.

자격증 자체가 연봉을 결정하진 않는다. 그러나 동일 경력에서 12~22% 보상 격차, 1년 안에 67%가 이직/인상에 성공이라는 데이터는 무시할 수 없다. 그보다 더 중요한 건 클라우드 네이티브 생태계가 이미 자격증 사다리 위에서 사람들을 분류하기 시작했다는 사실이다. 2026년 후반에는 어소시에이트 자격증이 신입 채용 우대 조건으로, Kubestronaut가 시니어 SRE의 표준 시그널로 자리 잡을 것이다.

References

- CNCF Certifications Overview — https://www.cncf.io/training/certification/

- Kubestronaut Program — https://www.linuxfoundation.org/kubestronaut

- CNCF Curriculum Repository — https://github.com/cncf/curriculum

- CKA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKA_Curriculum_v1.31.pdf

- CKAD Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKAD_Curriculum.pdf

- CKS Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKS_Curriculum_v1.30.pdf

- KCNA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/KCNA_Curriculum.pdf

- KCSA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/KCSA_Curriculum.pdf

- Killer Shell Simulator — https://killer.sh

- KodeKloud — https://kodekloud.com/

- Linux Foundation Training — https://training.linuxfoundation.org/

- Learn CNCF — https://learn.cncf.io/

- Kubernetes Documentation — https://kubernetes.io/docs/

- Cilium Documentation — https://docs.cilium.io/

- Istio Documentation — https://istio.io/latest/docs/

- OpenTelemetry Documentation — https://opentelemetry.io/docs/

- Argo Project — https://argoproj.github.io/

- Prometheus Documentation — https://prometheus.io/docs/introduction/overview/

- Falco Documentation — https://falco.org/docs/

- Kyverno — https://kyverno.io/docs/

- OPA Gatekeeper — https://open-policy-agent.github.io/gatekeeper/website/

- Trivy — https://trivy.dev/

- KCD Seoul — https://community.cncf.io/kcd-seoul/

- KCD Tokyo — https://community.cncf.io/kcd-tokyo/

- Cloud Native Days Tokyo — https://cloudnativedays.jp/

- Stack Overflow Developer Survey 2025 — https://survey.stackoverflow.co/2025