조치현, 이승수, 박현준,

Vol. 36, No. 1, pp. 37-49, 2월. 2026
10.13089/JKIISC.2025.35.6.37, Full Text:
Keywords: Container security, Filesystem Access Control, Security Policy
Abstract

쿠버네티스 환경에서 컨테이너 기반 워크로드는 KubeArmor, Tetragon과 같은 클라우드 네이티브 런타임 보안 도구를 통해 보호된다. 그러나 이들의 파일 접근 제어는 컨테이너별 비일관적인 프로그램 경로, 경로 무결성 미보장, 심볼릭 링크 단위 접근 제어 불가 등으로 인해 공격자에 의해 무력화될 수 있다. 본 논문에서는 이러한 한계를 해결하기 위해 KubeSmith를 제안한다. KubeSmith는 (1) 파드 분석과 대규모 언어 모델(LLM)을 활용한 정책 경로 검증 및 보정, (2) 정책 우회 패턴 식별과 완화를 위한 규칙 추가, (3) LSM-BPF 기반 개별 심볼릭 링크 접근 제어 지원을 통해 파일 접근 제어를 강화한다. 실험 결과, KubeSmith는 잘못된 경로와 정책 우회 문제를 효과적으로 개선하며, 개별 심볼릭 링크 단위 접근 제어 적용 시에도 기존 파일 접근 제어 대비 약 6.23%의 오버헤드만 발생하여, 실용적 성능 수준에서 안전한 파일 접근 제어를 제공함을 확인하였다.

Statistics
Cite this article