들어가며지난 #134 Zero Trust 네트워킹으로 서비스 간 통신에 신원과 mTLS·AuthZ를 세웠습니다. 그런데 모든 정책을 통과한 "정상" Pod이 실제로는 비정상 행동을 하고 있다면 어떻게 알 수 있을까요? 서명된 이미지(#132)를 올렸다고 해서 그 안에서 sh를 띄우거나 /etc/shadow를 읽지 않는다는 보장이 없습니다.2024년 Sysdig가 공개한 SCARLETEEL 사례는 공격자가 정상 이미지 위에서 컨테이너 탈출을 시도한 대표 케이스였습니다. 2025년 TeamTNT Silentbob 캠페인도 마찬가지로, 외부에서 보기엔 정상 Nginx이지만 내부에서 크립토 마이너가 돌았습니다. 로그·메트릭·APM으로는 이런 것을 잡기 어렵습니다. 커널 단에서 벌어지는 시스템 콜을 봐야 합니다...
