Kubescape가 Runtime Threat Detection을 GA로 승격하고 AI 에이전트 보안 스캔을 추가해 Kubernetes 환경의 CVE 노이즈를 95% 이상 감소

Context

Kubescape는 기존에 클러스터, Helm 차트, YAML 매니페스트, CI/CD 파이프라인의 설정 오류와 취약점을 스캔했지만, Kubernetes 환경에서 실행되는 AI 에이전트 자체의 보안은 다루지 않았다. 호스트 센서 기반의 노드 스캔 방식은 커뮤니티에서 보안 감시 관점에서 침입적이고 감사하기 어렵다는 지적을 받았다. 최근 KAgent 같은 Kubernetes 네이티브 AI 에이전트 프레임워크의 채택이 증가하면서 에이전트 구성에 대한 보안 검증의 필요성이 대두되었다.

Technical Solution

• Runtime Threat Detection을 정식 기능으로 승격: Common Expression Language 기반 탐지 규칙을 Application Profiles와 직접 연동해 프로세스, Linux capabilities, 시스템 콜, 네트워크/HTTP 이벤트, 파일 시스템 활동을 모니터링
• 보안 메타데이터 저장소 아키텍처 개선: Kubernetes Aggregated API를 이용해 Application Profiles, SBOMs, 취약점 매니페스트를 별도 계층에 저장해 표준 etcd 인스턴스의 부하 분산
• 노드 에이전트 구조 단순화: 호스트 센서와 호스트 에이전트를 폐기하고 node-agent로 통합해 노드당 하나의 에이전트만 실행되도록 변경
• Rules와 RuleBindings를 Kubernetes CRD로 관리: AlertManager, SIEM 도구, Syslog, Stdout, HTTP webhook으로 알림 전달 가능하도록 표준화
• KAgent 보안 스캔 추가: OPA의 Rego 언어로 작성한 15개 제어 정책으로 KAgent CRD의 42개 보안 임계 설정점을 검사 (빈 보안 컨텍스트, 누락된 NetworkPolicy, 과도한 권한의 네임스페이스 감시 등)
• KAgent 쿼리 플러그인 제공: AI 어시스턴트가 클러스터 내에서 취약점 매니페스트, RBAC 구성, 수정 지침, 런타임 동작(ApplicationProfiles, NetworkNeighborhoods)을 조회 가능하게 지원
• CIS Benchmark 지원 버전 확대: 바닐라 Kubernetes 1.12, EKS 1.8, AKS 1.8 벤치마크 추가

Impact

Runtime Threat Detection이 CVE 노이즈를 95% 이상 감소시킨다.

Key Takeaway

Kubernetes 보안 플랫폼은 워크로드 보안뿐 아니라 인프라 접근 권한을 가진 AI 에이전트 자체의 구성을 동일한 수준의 감시 기준으로 관리해야 한다. 에이전트가 자율성을 가질수록 공격 표면 관리는 이론적 관심에서 실무적 필요로 전환된다.