이번 포스팅은 OWASP Kubernetes Top 10에 대해 간단하게만 알아볼 예정입니다.
저번에 시나리오 잠깐 맛봤는데 OWASP에서 k8s 취약점도 발표된게 있더라고요.

일단 단순 해석만 하면 다음과 같습니다.
- K01 : 안전하지 않은 Workload 설정
- K02 : 과도하게 허용된 권한 설정
- K03 : Secret 관리 실패
- K04 : 클러스터 수준 정책 부족
- K05 : 네트워크 분리 통제 부족
- K06 : 과도하게 노출된 K8s 구성 요소
- K07 : 잘못 설정되었거나 취약한 클러스터 구성 요소
- K08 : 클러스터에서 클라우드로의 측면 이동
- K09 : 취약하거나 깨진 인증 메커니즘
- K10 : 부족한 로깅 및 모니터링
이중 저희가 어제 실습했던 건 K02와 K03에 해당하는 부분입니다.

과도한 권한을 통해서 Secret을 유출할 수 있었습니다.
물론 고의적으로 취약점을 열어뒀기 때문에 다른 Owasp 취약점도 재현이 가능합니다.
근데 k8s를 실습해보고 하니까, 이 클라우드 보안의 영역이 정말 너무 깊은 것 같습니다.
한동안 k8s 실습만 해야될 것 같은 느낌이네요
K01이 뭔지 찾아뵌, Pod/컨테이너 실행 설정 관련된 위협으로, 쉽게 생각하면 서버를 열때 루트권한으로 실행해서 서버가 뚫렸을 때 root권한이 공격자에게 쥐어지는 것과 비슷합니다.
k8s에서 어제 찾아볼때도, 컨테이너랑 pod을 만들때 sudo 명령어 자체를 없애거나ㅡ 권한 상승이 불가능하게 만드는게 중요하다는 내용을 봤었습니다.

그 외에 취약한 이미지를 사용하는것도 있고 종류가 엄청 다양합니다.
어제 실습해보면서 k8s 워게임 문제를 만들어보고 싶다는 생각을 했었는데, 웹과 비슷한 양상 같긴 하네요.
관련되서 실습 자료도 찾아봤습니다.
추후 공부 방향성도 있는데,
https://malwareanalysis.tistory.com/756#comment25360934
예제로 살펴보는 쿠버네티스 보안
1. 이 글에서 다루고자 하는 내용쿠버네티스 보안은 정말 범위가 넓고 쿠버네티스만 공부해서는 어려운 내용이 많습니다. 그래서 이 글에서는 쿠버네티스 보안에 대한 이론적 설명보다는 어떤
malwareanalysis.tistory.com
일단 한국어 자료가 귀하기 때문에 어제 실습했던 블로그에 있는 다른 보안 예제들과 어제 진행 못했던 initContainer를 실습을 진행할 예정입니다.
https://github.com/madhuakula/kubernetes-goat
GitHub - madhuakula/kubernetes-goat: Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kuber
Kubernetes Goat is a "Vulnerable by Design" cluster environment to learn and practice Kubernetes security using an interactive hands-on playground 🚀 - madhuakula/kubernetes-goat
github.com
https://owasp.org/www-project-gke-goat/?utm_source=chatgpt.com
OWASP GKE Goat | OWASP Foundation
A very brief, one-line description of your project
owasp.org
여기 실습 자료들이 있더라고요,
k8s goat는 로컬 k8s 입문용 자료로, 일반 클러스터에 취약한 부분이고,
OWASP GKE Goat는 k8s내부 실습을 넘어서 IAM과 같은 클러스터 -> 클라우드 권한 확장 흐름을 다루고 있습니다
뭐 곧 종강이니 둘다 해보도록 하겠습니다 ㅎ
조금이따가 실습 포스팅으로 돌아올게요
읽어주셔서 감사합니다~!
'취약점분석 (Blue Team) > Cloud' 카테고리의 다른 글
| [Cloud] K8s Resource Manifests (0) | 2026.06.23 |
|---|---|
| [Cloud] Kubernetes 보안 실습 시나리오 2 ( Mutating Admission Webhook ) (0) | 2026.06.17 |
| [Cloud] Kubernetes 보안 실습 시나리오 1 ( RCE후 Pod 생성 ) (1) | 2026.06.16 |
| [Cloud] 쿠버네티스 (Kubernetes, k8s) (0) | 2026.06.16 |
| [Cloud] 도커 컨테이너 리눅스에서 구현 실습 (0) | 2026.06.15 |