Certified Kubernetes Security Specialist (CKS) #1 시험 환경: CKA 전제, 도구, 시험 시간 운용

CKA 시리즈 27편으로 클러스터를 설치하고 운영하고 고치는 관리자의 일을 손에 익혔다면, 마지막 단계는 그 클러스터를 어떻게 안전하게 지키는가입니다. CNCF 쿠버네티스 자격증 가운데 보안 전문가 관점의 실기 시험이 **Certified Kubernetes Security Specialist (CKS)**입니다. 이 시리즈는 CKS 합격에 필요한 모든 도메인을 20편으로 풀어내는 트랙입니다.

CKS는 새 리소스를 만드는 시험이 아니라 이미 도는 클러스터의 공격 표면을 줄이는 시험입니다. 컨테이너를 커널 수준에서 가두고, 이미지를 검증하고, 런타임에서 이상 행동을 잡아냅니다. 그래서 이 첫 글은 시험 구조뿐 아니라, CKS가 다루는 보안 도구의 큰 그림과 시험 중 문서를 어떻게 쓸지까지 함께 잡겠습니다.

CKS는 어떤 자격증인가 #

CKS는 쿠버네티스 클러스터와 그 위 워크로드를 공격으로부터 지키는 능력을 실기로 검증하는 자격증입니다. CKA가 클러스터를 굴러가게 하는 일이었다면, CKS는 그 클러스터의 공격 표면을 줄이고, 침입을 탐지하고, 피해를 가두는 일에 집중합니다. 다음 같은 작업을 빈 터미널에서 제한 시간 안에 끝낼 수 있는지를 봅니다.

  • NetworkPolicy로 default deny를 깔고 필요한 통신만 연다
  • AppArmor와 seccomp로 컨테이너의 시스템 콜을 제한한다
  • Pod Security Admission으로 위험한 Pod를 거부한다
  • 이미지를 Trivy로 스캔하고 cosign으로 서명을 검증한다
  • OPA/Gatekeeper나 Kyverno로 정책을 강제한다
  • Falco로 런타임 이상 행동을 탐지하고 audit log를 분석한다

이 시험을 통과한 사람은 클러스터를 운영할 뿐 아니라, 공격자의 관점에서 약점을 찾아 막을 수 있습니다.

CKA 보유가 전제 조건 #

CKS는 응시 예약 시점에 유효한 CKA 자격증이 있어야 등록할 수 있는 유일한 CNCF 쿠버네티스 자격증입니다. CKA의 운영 지식(kubeadm, etcd, RBAC, 트러블슈팅)을 당연히 아는 것으로 전제하고, 그 위에 보안을 쌓습니다. 따라서 CKA 시리즈를 먼저 마친 상태에서 이 트랙에 들어오는 것을 권합니다.

어떤 사람에게 가치가 있는가 #

직군효용
플랫폼 / 보안 엔지니어쿠버네티스 보안 설계와 운영의 최상위 증명
DevSecOps공급망,런타임 보안 도구 실무 역량
SRE / 인프라 엔지니어CKA 다음의 보안 깊이 확보
컴플라이언스 담당CIS benchmark,정책 강제의 실무 이해

CKS는 CNCF 쿠버네티스 자격증 3종(CKAD,CKA,CKS) 가운데 가장 전문적이고 도구 집약적인 시험입니다. 6개 도메인이 각각 다른 도구를 요구하므로, 도구별 사용법을 손에 익히는 것이 합격의 핵심입니다.

시험 구조 #

CKS 시험의 표면 정보는 짧게 외워둘 만합니다.

항목
형식실기(performance-based). 실제 클러스터에서 작업
문항 수약 15〜20개 작업(task)
시험 시간2시간
합격선67%
응시료$395 USD (재시험 1회 포함)
유효 기간2년
응시 자격유효한 CKA 자격증 필수
문서 열람kubernetes.io/docs 외에 Falco, Trivy, AppArmor, gVisor 등 지정 도구 문서 열람 허용
응시 방식온라인 감독(PSI). 원격 터미널
쿠버네티스 버전응시 시점의 최신 마이너 버전 기준(예약 시 확인)

CKA와 결정적으로 다른 점 #

CKA는 클러스터를 만들고 고치는 시험이었습니다. CKS는 이미 도는 클러스터를 더 안전하게 바꾸는 시험입니다. 그래서 같은 kubectl을 쓰더라도, 작업의 목표가 다릅니다. “이 Pod가 root로 돌지 않게 하라”, “이 네임스페이스에 default deny를 적용하라”, “이 이미지의 취약점을 스캔하라” 같은 보안 지향 작업이 나옵니다. 또한 쿠버네티스 밖의 리눅스 보안 도구(AppArmor, seccomp, Falco)를 노드에서 직접 다루는 작업이 많아, CKA보다 리눅스 시스템 보안 감각이 더 필요합니다.

합격선 67% #

CKS의 합격선은 **67%**로, CKA,CKAD의 66%보다 한 단계 높습니다. 작업 단위로 채점되며 일부는 부분 점수가 있습니다. 도구마다 사용법이 달라 한 작업에서 막히기 쉬우므로, 손에 익은 작업부터 확실히 점수를 쌓는 운영이 중요합니다.

6개 도메인의 비중 #

CKS의 출제 범위는 공식 시험 커리큘럼에 6개 도메인으로 정리되어 있습니다.

#도메인비중시리즈 매핑
1Cluster Setup10%#2 , #3
2Cluster Hardening15%#4 , #5
3System Hardening15%#6#8
4Minimize Microservice Vulnerabilities20%#9#12
5Supply Chain Security20%#13#15
6Monitoring, Logging and Runtime Security20%#16#18

비중이 그대로 학습 시간 배분의 가이드입니다. **뒤쪽 세 도메인(마이크로서비스,공급망,런타임)이 각각 20%로 합쳐 60%**를 차지합니다. 이 세 도메인이 합격을 가르며, 각각 PSA,이미지 스캔/서명,Falco 같은 별도 도구를 요구하므로 도구 숙련도가 곧 점수입니다.

CKS가 다루는 보안 도구의 큰 그림 #

CKS의 학습은 곧 도구의 학습입니다. 이 시리즈에서 다룰 도구를 도메인별로 미리 한 표에 잡아 두겠습니다.

영역도구하는 일
네트워크NetworkPolicy, Cilium통신 차단, Pod 간 mTLS
벤치마크kube-benchCIS benchmark 점검
시스템AppArmor, seccomp시스템 콜,파일 접근 제한
정책Pod Security Admission, OPA/Gatekeeper, Kyverno위험한 Pod,매니페스트 거부
격리gVisor, Kata Containers커널 격리 샌드박스
이미지Trivy, Kubesec, cosign, SBOM취약점 스캔, 서명 검증
런타임Falco, audit log이상 행동 탐지, 감사

각 도구가 어떤 공격을 막는지를 한 줄로 설명할 수 있어야 시험에서 작업의 의도를 빠르게 파악합니다.

학습 전략 #

1) 도구마다 손으로 한 번씩 #

CKS는 도구별 시험입니다. AppArmor 프로파일을 직접 로드해 보고, seccomp 프로파일을 Pod에 붙여 보고, Falco 규칙을 트리거해 본 사람이 시험장에서 막히지 않습니다. 로컬 클러스터에서 각 도구를 한 번씩 직접 굴려 보겠습니다.

2) 문서 위치를 미리 익힌다 #

CKS는 kubernetes.io/docs뿐 아니라 Falco,Trivy,AppArmor,gVisor 등의 공식 문서 열람이 허용됩니다. 시험 중 프로파일 문법이나 명령 옵션을 문서에서 빠르게 찾을 수 있도록, 각 도구 문서의 어디에 무엇이 있는지 미리 익혀 두는 것이 시간을 아끼는 길입니다.

3) 비중 높은 뒤쪽 도메인에 무게를 #

마이크로서비스,공급망,런타임 세 도메인이 60%를 차지합니다. 앞쪽 Cluster Setup(10%)도 중요하지만, 합격을 가르는 것은 뒤쪽이므로 PSA,이미지 서명,Falco에 학습 시간을 더 배분하겠습니다.

4) 모의고사는 후반에 #

본 시리즈를 한 바퀴 돌고 나면 #20에 풀스케일 실기 모의고사를 두었습니다. 추가 연습이 필요하면 killercoda의 CKS 시나리오나 응시권에 포함된 killer.sh 모의 환경이 신뢰 기준입니다.

등록과 응시 환경 #

등록 절차 #

  1. 유효한 CKA 자격증 확인. CKS는 CKA 없이는 응시를 예약할 수 없음
  2. Linux Foundation 교육 포털에서 CKS 구매. 할인 행사 활용 가능
  3. 응시권에 포함된 killer.sh 모의 시험 2회 활용
  4. PSI 감독 시스템에서 응시일 예약 후 시스템 호환성 검사 통과

온라인 감독 응시 준비 #

CKS는 원격 터미널에 접속해 작업하는 온라인 감독 시험입니다.

  • 신분증. 영문 표기가 있는 여권이 가장 안전. 이름이 등록 정보와 정확히 일치해야 함
  • 응시 환경. 책상 위 모든 물건 치움, 듀얼 모니터는 한 대만 사용, 가족,룸메이트 출입 차단
  • 시스템 점검. 응시 30분 전 입실해 백그라운드 앱을 모두 종료. 안정적인 유선 네트워크 권장

정리 #

이번 글에서 잡은 것:

  • CKS는 쿠버네티스 보안 전문가의 실기 자격증. 공격 표면을 줄이고 침입을 탐지하고 피해를 가두는 시험
  • 유효한 CKA 보유가 응시 전제. 약 15〜20개 작업 / 2시간 / 67% / $395(재시험 1회 포함) / 2년 유효
  • 6개 도메인. Cluster Setup(10%), Cluster Hardening(15%), System Hardening(15%), Minimize Microservice Vulnerabilities(20%), Supply Chain Security(20%), Monitoring,Logging,Runtime Security(20%)
  • 도구가 곧 시험. NetworkPolicy,kube-bench,AppArmor,seccomp,PSA,OPA/Gatekeeper,Kyverno,gVisor,Trivy,cosign,Falco
  • 학습 전략. 도구마다 손으로 한 번씩. 문서 위치 익히기. 비중 높은 뒤쪽 도메인에 무게

다음: NetworkPolicy 깊이 #

환경은 잡았습니다. 이제 첫 도메인 Cluster Setup의 핵심인 네트워크 격리부터 들어갑니다.

#2 NetworkPolicy 깊이: default deny, ingress/egress에서는 기본 all-allow 상태를 default deny로 뒤집는 법, ingress와 egress를 각각 어떻게 제한하는지, podSelector와 namespaceSelector를 조합해 필요한 통신만 여는 패턴, 그리고 시험에서 자주 나오는 “이 네임스페이스를 격리하되 DNS만 허용하라” 유형까지 직접 만들어 보며 정리하겠습니다.

X