🚀 골든 쿠버스트로넛을 향한 여정 (4/15): KCSA, 하루 만에 91점으로 합격한 후기 (feat. CKS급 심층 질문들)

안녕하세요! '골든 쿠버스트로넛'을 향한 여정의 네 번째 발자국, KCSA(Kubernetes and Cloud Native Security Associate) 자격증 취득 후기로 돌아온 gasbugs입니다. 🥳

 

지난번 KCNA를 하루 만에 합격한 기세를 몰아, 이번 KCSA 역시 단 하루를 투자해 91점이라는 높은 점수로 합격하는 쾌거를 이루었습니다! CKA와 CKS를 통해 다져진 기본기와 AI를 활용한 학습법이 이번에도 빛을 발했는데요. 하지만 결코 만만하게 볼 시험은 아니었습니다. KCNA가 넓고 얕은 지식을 물었다면, KCSA는 보안이라는 특정 분야를 아주 깊게 파고드는, 그야말로 '전문가'로 가는 길목을 확인하는 시험이었습니다.

 

지금부터 그 생생한 경험을 자세히 공유해 드릴게요!

 

 

🧠 1. 비장의 무기: CKS 지식 + Gemini AI 문제 생성

이번에도 저의 학습 전략은 명확했습니다. 바로 CKS(Certified Kubernetes Security Specialist)를 준비하며 쌓았던 깊이 있는 지식을 기반으로, AI를 활용해 KCSA 시험 유형에 맞게 지식을 재정비하는 것이었죠.

 

솔직히 말해, CKS를 경험하지 않았다면 하루 만의 합격은 불가능했을 겁니다. KCSA는 'Associate'라는 이름이 붙어있지만, 질문의 깊이는 CKS에서 다루는 핵심 보안 개념과 맞닿아 있었기 때문입니다.

 

KCNA 때와 마찬가지로, 이번에도 저의 학습 파트너는 Gemini였습니다. 다음과 같은 프롬프트를 사용해 시험 범위 전체를 아우르는 100개 이상의 예상 문제를 만들어 풀었습니다.

"I have a basic knowledge of CKS. Please create about 20 multiple-choice questions for the KCSA Kubernetes and Cloud Native Security Associate exam, covering the entire exam curriculum. 영어로."

 

이 과정을 통해 단순히 알고 있던 CKS의 실습 지식을 KCSA가 요구하는 객관식 개념 문제에 맞게 변환하는 훈련을 할 수 있었습니다. 예를 들어, CKS에서는 Network Policy를 YAML로 직접 작성했다면, KCSA에서는 '이러한 상황에서 어떤 Network Policy 설정이 올바른가?'를 묻는 식이죠.

🛡️ 2. KCSA 시험 경험: 단순 암기를 넘어선 '이해'를 묻다

KCSA 시험은 보안의 '왜(Why)'를 끊임없이 묻는 시험이었습니다. 단순히 명령어나 기능을 아는 것을 넘어, 각 보안 요소가 어떤 원리로 동작하고 왜 필요한지를 정확히 이해해야만 풀 수 있는 문제들이 많았습니다. 제가 시험에서 마주했던 '심상치 않은' 주제들은 다음과 같습니다. (약관 준수를 위해 문제 자체를 복원하지 않고, 핵심 개념 위주로 설명하겠습니다.)

 

① 공급망 보안과 위협 모델링 (Supply Chain Security & Threat Modeling)

• 단순히 이미지 스캐닝을 넘어, 소프트웨어 공급망 전체를 보호하기 위한 NIST 800-161과 같은 프레임워크에 대한 이해를 물었습니다. 단순히 '이미지 서명을 해야 한다'가 아니라, '왜 그것이 공급망 보안의 핵심인가?'를 묻는 깊이가 느껴졌습니다. ⛓️
• MITRE ATT&CK® for Containers 매트릭스를 이해하고, 특정 공격 기법이 어떤 단계(Tactic)에 해당하는지 연결할 수 있어야 했습니다. 이는 단순 방어가 아닌, 공격자의 시점에서 시스템의 취약점을 분석하는 능력을 요구합니다.

② 쿠버네티스 내부 보안 메커니즘의 작동 원리

• Admission Controller의 Webhook 처리 순서 (Mutating → Validating): 왜 Mutating Webhook이 Validating Webhook보다 먼저 실행되어야 하는지에 대한 근본적인 이해가 필요했습니다.
• Pod Security Standards (PSS): 단순히 PSS의 3가지 레벨(Privileged, Baseline, Restricted)을 아는 것을 넘어, PSS를 클러스터에 적용하기 위한 전제 조건이나 네임스페이스 레이블과의 관계를 묻는 등 실용적인 적용 방안을 물었습니다.
• PKI (Public Key Infrastructure): 쿠버네티스 컴포넌트 간 통신이 왜 PKI 기반으로 이루어지는지, 즉 TLS 인증을 통한 상호 신뢰 관계 구축의 중요성을 정확히 알고 있는지 확인했습니다. 🔑
• ClusterRole과 ClusterRoleBinding: 두 리소스의 차이점을 명확히 구분하고, 특정 사용자에게 클러스터 전반의 권한을 부여하기 위해 어떤 조합을 사용해야 하는지 묻는 문제는 기본 중의 기본이었습니다.

③ 컨테이너 런타임 및 격리 기술 심층 분석

• gVisor vs. Firecracker: 두 기술 모두 표준 컨테이너 런타임보다 강력한 격리를 제공하지만, 그 방식에는 차이가 있습니다. gVisor가 유저스페이스 커널을 통해 시스템 콜을 가로채는 방식이라면, Firecracker는 경량 가상 머신(MicroVM)을 활용합니다. 이 둘의 아키텍처 차이와 그로 인한 장단점을 비교하는 질문이 인상 깊었습니다. 🔬
• Kubelet의 노드 인증 방식: Kubelet이 API 서버에 자신을 등록하고 인증받는 과정(Node Authorizer, TLS Bootstraping)에 대한 정확한 이해를 요구했습니다. 이는 클러스터 보안의 가장 기본적인 신뢰 관계를 설정하는 중요한 과정입니다.

④ 실무적인 트러블슈팅 시나리오

• gcr.io 이미지 레지스트리 통신 불가: 프록시 환경, 방화벽 정책, 네트워크 정책(Network Policy) 등 실제 현업에서 발생할 수 있는 원인들을 제시하고, 문제 해결을 위한 접근 방식을 묻는 문제가 있었습니다. 🌐

✨ 3. 총평: CKS 이후에 도전하는 것을 강력히 추천!

KCNA 후기에서는 'CKA/CKAD를 먼저 해보는 것도 좋다'고 역설적으로 제안했었는데요, KCSA는 한 걸음 더 나아가 'CKS를 경험한 후에 보는 것이 좋다'고 확신하게 되었습니다.

 

KCSA는 CKS처럼 실습 환경에서 직접 문제를 해결하는 시험은 아니지만, 질문 하나하나에 CKS에서 다루는 실무적인 보안 지식과 경험이 녹아있습니다. 보안 개념에 대한 깊은 이해 없이는 선택지들 사이에서 정답을 가려내기 매우 까다로울 것입니다.

 

'Associate'라는 단어에 방심하지 마세요. 클라우드 네이티브 보안의 핵심을 제대로 관통하는, 깊이 있고 의미 있는 자격증입니다. 이 시험을 통해 저는 흩어져 있던 보안 지식을 체계적으로 정리하고, 쿠버네티스 보안을 더 넓은 시야에서 바라볼 수 있게 되었습니다.

 

이제 저의 '골든 쿠버스트로넛' 여정도 중반을 향해 달려가고 있습니다. 다음 여정도 많은 기대와 응원 부탁드립니다! 모두들 즐거운 클라우드 네이티브 여정이 되시길 바랍니다! 🎉

---

태그: KCSA, Kubernetes, Cloud Native Security, 자격증 후기, 쿠버네티스 자격증, CKS, CNCF, 클라우드 네이티브, 정보보안, 하루만에 합격