🚀 골든 쿠버스트로넛을 향한 여정 (5/15): CKS 합격, 쿠버스트로넛 자격 달성! (feat. 2025년 최신 출제 경향 완벽 분석)

안녕하세요! '골든 쿠버스트로넛'을 향해 멈추지 않고 달려가고 있는 gasbugs입니다. 마침내, 여정의 다섯 번째 관문이자 가장 중요한 이정표 중 하나인 CKS(Certified Kubernetes Security Specialist) 자격증을 취득했습니다! 🥳

 

 

이번 CKS 합격으로, 저는 CNCF가 인정하는 '쿠버스트로넛(Kubestronaut)' 자격을 공식적으로 달성하게 되었습니다. CKA, CKAD, CKS, KCNA, KCSA까지 총 5개의 자격증을 모아 이룬 첫 번째 목표라 감회가 정말 새롭습니다. CKA를 취득한지 무려 6년만에 취득했네요. 물론 15개를 모두 모으는 '골든' 쿠버스트로넛까지는 아직 길이 멀지만, 큰 산을 하나 넘었다는 생각에 뿌듯함을 감출 수 없네요! 1주일 내로 메일이 온다니 받아서 등록해야겠습니다. 현재는 대한민국 기준으로 80명이 계시네요. 

https://www.cncf.io/training/kubestronaut/?_sft_lf-country=kr

 

 

이번 CKS 시험은 '보안 전문가'라는 이름에 걸맞게, 쿠버네티스 클러스터를 안전하게 구축하고 운영하는 실질적인 능력을 아주 집요하게 파고드는 시험이었습니다. 2021년의 경험과 비교했을 때 확연히 달라진 최신 경향을 온몸으로 체감할 수 있었는데요. 지금부터 그 치열했던 2시간의 기록과 핵심 출제 포인트를 상세하게 공유해 드리겠습니다.

🔥 2021년 대비 2025년 CKS, 이렇게 달라졌다!

먼저 CKS를 준비하시는 분들이 가장 궁금해하실 최신 출제 경향부터 짚어보겠습니다. 2021년에 비해 시험의 성격이 꽤 많이 변했습니다.

• Static Pod 수정 문제의 대폭 증가: 과거에는 일반 Pod나 Deployment를 다루는 비중이 높았다면, 이제는 컨트롤 플레인 컴포넌트와 직접적으로 연관된 /etc/kubernetes/manifests 내의 스태틱 파드 설정을 직접 수정하는 문제가 핵심으로 자리 잡았습니다. API 서버, 스케줄러 등의 설정을 변경해야 하는 상황이 많아졌습니다.
• 신규 보안 기능의 필수 출제: Pod Security Standards (PSS)와 ImagePolicyWebhook은 이제 거의 빠지지 않고 출제되는 단골 문제입니다. 단순히 개념을 아는 것을 넘어, 실제 환경에 적용하고 트러블슈팅하는 능력이 필수입니다.
• 컨테이너 런타임 보안 강조: Docker 소켓(docker.sock)이 갖는 취약점을 인지하고 이를 제거하는 방법을 묻는 문제가 출제되었습니다. 호스트와 컨테이너 런타임 사이의 보안 경계를 이해하는 것이 중요해졌습니다.
• 공급망 보안(SBOM) 문제 등장: bom 툴을 사용해 SBOM(Software Bill of Materials)을 추출하고, 특정 패키지 버전을 사용하는 이미지를 찾아 조치하는 등 최신 공급망 보안 트렌드를 반영한 문제가 인상 깊었습니다.
• CKA 영역의 이동: 과거 CKA의 단골 문제였던 워커 노드의 Kubelet 버전 업그레이드와 같은 클러스터 관리 문제가 CKS로 넘어온 것으로 보입니다. 클러스터 자체의 보안 유지보수 능력을 함께 평가하려는 의도로 보입니다.
• 압박적인 시간 관리: 가장 큰 변화는 2시간이라는 짧은 시간 안에 까다로운 실습 문제들을 해결해야 한다는 점입니다. 특히 스태틱 파드 수정은 작은 실수 하나가 클러스터 전체에 영향을 줄 수 있어, 신속하고 정확한 문제 해결 능력이 더욱 중요해졌습니다.

🛡️ 실제 시험에서 마주한 핵심 과제들

제가 시험에서 겪었던 주요 과제들을 복기해보면 다음과 같습니다. 보안의 여러 계층을 넘나들며 종합적인 이해도를 평가하는 문제들이 주를 이뤘습니다.

 

1. 클러스터 구성 및 강화 (Cluster Setup & Hardening)

• Auditing: 클러스터의 모든 활동을 감시하는 Auditing 설정은 기본 중의 기본이었습니다. 로그 경로, 감사 정책 파일(policy file)을 직접 작성하고 적용하는 능력을 상세하게 평가했습니다. 📜
• Kubelet 버전 업그레이드: kubeadm으로 구성된 클러스터의 워커 노드 Kubelet 버전을 지정된 버전으로 안전하게 업그레이드하는 실무 능력을 검증했습니다.
• Kubelet 인증/인가: Kubelet의 Authentication/Authorization 설정을 Webhook 모드로 변경하고, 관련 인증서 설정을 활성화하는 등 노드-API 서버 간의 통신 보안을 강화하는 문제가 출제되었습니다.

2. 워크로드 및 런타임 보안 (Workload & Runtime Security)

• Pod Security Standards (PSS): restricted 프로필이 적용된 네임스페이스에서 배포 실패 이벤트(Fail Event)를 확인하고, 원인이 되는 Security Context를 수정하여 배포를 성공시키는 실전 트러블슈팅 능력을 요구했습니다.
• Dockerfile 및 Deployment 보안 개선: Dockerfile에서는 USER root를 USER non-root-user로 변경하고, Deployment에서는 privileged 설정을 제거하는 등 코드와 배포 명세 양쪽에서 보안 취약점을 찾아 개선해야 했습니다. ✍️
• 호스트 경로 접근 제어: 호스트의 /dev/mem과 같은 민감한 경로에 접근하는 Deployment를 찾아내 즉시 scale 0으로 조치하여 위협을 제거하는 문제가 나왔습니다. (아마도 Falco 규칙과 연관된 시나리오로 추정됩니다.)
• Docker 소켓 보안: 보안상 위험한 docker 그룹에서 특정 사용자를 제거하여 Docker 소켓에 대한 무단 접근을 차단하는 능력을 평가했습니다.

3. 네트워크 및 공급망 보안 (Network & Supply Chain Security)

• NetworkPolicy: Default Deny 정책을 기본으로 설정하고, podSelector, namespaceSelector, cidr 등 다양한 조건을 조합하여 포괄적인 Ingress/Egress 규칙을 수립하는 능력을 검증했습니다. 🌐
• ImagePolicyWebhook: 특정 이미지만을 허용하는 ImagePolicyWebhook을 구성하여, 허가되지 않은 이미지가 클러스터에서 실행되는 것을 원천 차단하는 고급 보안 정책을 구현해야 했습니다.
• SBOM 기반 취약점 조치: bom 툴로 이미지의 SBOM을 분석하여 특정 버전의 취약한 패키지를 사용하는 이미지를 식별하고, 해당 이미지를 사용하는 Deployment에서 문제가 되는 컨테이너를 제거하는 공급망 보안 문제가 출제되었습니다. 📦
• TLS 인증서 관리: Ingress의 TLS 통신을 위한 Secret을 직접 생성하고 적용하는 능력과 같이, 통신 암호화의 기본을 충실히 확인했습니다.

✨ 총평: 쿠버네티스 보안의 실전 종합판

CKS는 단순히 지식을 확인하는 시험이 아니라, 주어진 시간 안에 실제 운영 환경에서 발생할 수 있는 다양한 보안 위협을 진단하고, 분석하고, 조치하는 '보안 엔지니어'의 역량을 종합적으로 평가하는 시험이었습니다.

 

이번 합격으로 '쿠버스트로넛'이라는 의미 있는 이정표를 세웠지만, 아직 '골든 쿠버스트로넛'까지는 10개의 자격증이 더 남아있습니다. 이제 절반도 채 오지 않았네요! 하지만 이 여정을 통해 단순한 자격증 수집을 넘어, 클라우드 네이티브 생태계에 대한 깊이 있는 이해와 전문성을 쌓아가는 과정 자체가 즐겁습니다.

 

다음 여정도 많은 기대와 응원 부탁드립니다! 모두들 즐거운 클라우드 네이티브 여정이 되시길 바랍니다! 🎉

 

태그: CKS, Certified Kubernetes Security Specialist, Kubernetes, 쿠버스트로넛, Kubestronaut, 자격증 후기, CKS 후기, 쿠버네티스 자격증, CNCF, 클라우드 네이티브, 정보보안, 쿠버네티스 보안