Istio 1.30: AI 트래픽 최적화와 4종 CVE 패치를 통한 Zero-Trust 강화

Context

기존 Service Mesh가 마이크로서비스 라우팅과 mTLS 중심의 단순 구조에 머물러 AI 에이전트 트래픽 처리 및 다중 네트워크 토폴로지에 대응하는 유연성이 부족한 상황. 특히 XDS 디버그 엔드포인트의 인증 부재와 JWKS 직렬화 오류로 인한 보안 취약점 해결이 시급한 과제로 부상함.

Technical Solution

• AI 에이전트 및 MCP 서버 트래픽 최적화를 위해 Envoy를 대체하는 Agentgateway 전용 GatewayClass 도입
• WasmPlugin을 통합 대체하는 TrafficExtension API 설계로 Sidecar, Gateway, Waypoint 전반의 확장성 단일화
• JWKS fallback 직렬화 로직을 public-key 필드로 제한하여 RSA private key 유출 경로를 차단한 보안 패치 적용
• XDS 디버그 엔드포인트에 ENABLE_DEBUG_ENDPOINT_AUTH=true 기본값을 적용하여 인증 없는 config_dump 접근 차단
• Ambient mode의 운영 효율성을 위해 CIDR ServiceEntry 및 XFCC synthesis 기능을 통한 네트워크 제어 정밀화
• SPIFFE 식별자와 네임스페이스 이름에 자동 쿼팅을 적용하여 AuthorizationPolicy 내 Regex 메타문자 오작동 방지