취약점분석 (Blue Team)/Cloud

[k8s-goat] 16.Falco - Runtime security monitoring & detection

poiri3r 2026. 7. 4. 16:17

이번에는 Falco입니다.

최근에 k8s-goat관련을 안써서 한번 간단하게만 써볼 예정이고요,

falco는 예전에 잠깐 다룬적 있으니 설명은 생략하겠습니다.

eBPF 기반 런타임보안툴입니다.

 

일단 설치는 명령어로 간단하게 가능한데, 이전에 falco 설치할땐 엄청 복잡했던 것 같은데, 3줄이면 설치되네요

저번엔 이렇게 했었는데, 이전에 했던 방식은 리눅스 서버/CM 자체에 Falco를 패키지로 설치하는 방식이어서 복잡했고, Helm을 통해서 설치하면 간단하게 설치 가능합니다.

 

Helm은 k8s용 패키지 매니저입니다.

Helm을 통해 설치하면 각 노드에 Falco Pod이 떠서 컨테이너/Pod 이벤트를 감시합니다.

설치를 하고 나면 Helm이 Falco를 설치할 때 k8s node마다 Falco Pod이 1개씩 나오게됩니다.

잘 동작하는지 확인하려면 로그를 -f 로 띄우면 됩니다.

 

명령어가 kubectl logs -l app.kuberenetes.io인게 의아했는데, k8s가 탐지 로그를 stdout으로 출력 (화면에)

그걸 kubelet이 로그 파일로 관리하고, 그걸 조회하는 개념입니다.

이걸 sidekick을 통해 외부로 전송하면 외부에서 관리 가능합니다

 

이후에 쉘을 하나 더 킨 뒤, pod을 생성 -> cat /etc/shadow(민감 정보 읽기)를 해보겠습니다.

로그를 읽어보면 Warning Sensitive file ~~로 잘 뜹니다.

/etc/shadow를 읽으려고 한것도 확인 가능합니다.

 

일단 여기까지 해서 포스팅을 마치겠습니다

읽어주셔서 감사합니다