Home > 전체기사

향상된 보안을 약속하며 갑자기 유료 서비스로 전환한 도커

  |  입력 : 2021-09-02 19:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
도커가 가격을 올렸다. 이제 데스크톱 유틸리티를 사용하려면 매달 얼마 간의 돈을 내야만 한다. 사용자들 사이에서 볼멘 소리가 나오자 도커는 ‘더 나은 보안’을 약속했다. 이 약속이 지켜질 것인가, 아니면 사용자 기만이 될 것인가.

[보안뉴스 문가용 기자] 컨테이너 기술 전문 업체인 도커(Docker)가 오늘 일부 상품의 가격을 변경한다고 발표했다. 데스크톱에서 도커 서비스를 관리하기 위해 마련된 유틸리티를 매달 자동 결제 해야만 사용할 수 있도록 한 것이다. 그러면서 도커는 “보안 강화와 서비스질 향상을 위해 꼭 필요한 절차”라고 강조했다.

[이미지 = utoimage]


그렇기 때문에 2022년 2월 1일부터 도커 데스크톱 사용자들은 유틸리티를 제대로 실행시키기 위해 정기 결제권을 끊어야 한다. 도커 허브(Docker Hub)는 아니다. 도커에 대한 의존도가 높았던 기업이라면 선택의 여지가 없다. 도커는 이 수익을 가지고 신뢰할 만하고 안전한 도커 생태계를 구축하겠다는 입장이다. 또한 애플리케이션 개발자들을 위한 보안 도구들을 더 도입하겠다고 한다.

CTO인 저스틴 코맥(Justin Cormack)은 “현대 도커 생태계에서 가장 시급히 필요한 건 보안이라는 데 사용자와 회사 모두 동의하고 있다”며 “최근 고객들은 자신들의 프로젝트에 연루된 공급망에 대해 깊은 관심을 갖고 있다”고 설명한다. “도커의 공급망은 이미 방대한 영역입니다. 한두 가지 보안 도구나 솔루션으로 어떻게 할 수 있는 게 아닙니다.”

이러한 도커의 움직임 때문에 도커 데스크톱(Docker Desktop)의 이용자 약관은 오늘부로 변경된다. 이에 따르면 개인 개발자나 소규모 사업자, 오픈소스 프로젝트 개발자, 교육 산업 종사자 등은 무료로 사용이 가능하나 기능이 일부 제한될 예정이다. 다만 해당 상품의 이름은 무료(Free)에서 개인용(Personal)으로 바뀐다. 직원이 250명 이상인 조직이거나 수익이 1천만 달러 이상인 기업은 유료로만 도커 데스크톱을 사용할 수 있다.

당연하지만 도커의 이런 움직임에 대한 사람들의 반응은 썩 호의적이지 않다. ‘투자한 만큼 보안을 강화하겠다’는 도커의 메시지 역시 비판의 대상이 되고 있다. 돈 내지 않으면 허술한 보안을 그대로 방치하겠냐는 것이다. 그러나 보안이 충분히 강화가 된다면 구독료를 낼 의향이 있다는 반응도 팽팽하다.

도커 이미지와 컨테이너들은 소프트웨어 개발 공급망에 있어 대단히 중요한 요소가 되고 있다. 그렇기 때문에 공격자들은 감염된 이미지들을 은근슬쩍 끼워 넣어서 개발자들의 개발 환경이나 프로젝트를 악성으로 변환시키곤 한다. 현재까지는 주로 암호화폐 채굴을 하는 멀웨어들이 도커 환경에서 많이 발견됐었다. 이런 멀웨어가 탑재된 것을 모르고 이미지를 도커 허브와 같은 곳에서 다운로드 받아서 개발에 사용하면 프로젝트 전체가 악성으로 변할 수 있다.

이런 공격이 가능한 건 개발자들이 도커 이미지를 만들거나 다운로드 받아서, 이미지를 구성하는 각 요소들을 확인하거나 업데이트 하지 않기 때문이다. 이는 소프트웨어를 업데이트 하지 않거나, 서드파티 앱 스토어에서 아무 앱이나 확인 없이 받는 것과 비슷한 행위다. 도커 허브에는 약 400만 개의 이미지들이 존재하는데, 51%에서 최소 한 개 이상의 치명적 취약점이 발견되고 있다. 개발자들에게 있어 이미지 확인이 필수지만 실제 개발 현장에서는 이 부분이 간과되고, 공격자들 역시 이를 잘 알기에 악성 이미지를 통한 공격을 실시하는 것이다.

이는 생각보다 심각한 문제다. 개발자의 태도가 개선되지 않는다는 건, 도커 환경이 커지면 커질수록 위협 역시 개선되는 부분 없이 증가될 가능성을 시사하는 것이기 때문이다. 그리고 도커의 인기는 빠르게 늘어나는 중이기도 하다. 따라서 단순히 ‘보안을 강화하겠다’를 넘어 “실제 개발자들이 활용하기에 용이한 보안 기능을 개발하려고 고민하고 있다”는 코맥의 발언은 꽤나 적절히 핵심을 찌르고 있다고 볼 수 있다. 문제를 파악하는 것과 문제를 해결하는 것이 완전히 다른 문제라는 부분이 남아 있긴 하지만 말이다.

지금의 움직임은 도커에도 양날의 검으로 작용할 공산이 크다. ‘보안’을 약속하며 돈을 걷는 것이기 때문에, 그 ‘보안’이 실제로 등장했을 때 많은 사람들을 만족시켜야 한다. 그렇지 않는다면 잠깐 누렸던 구독료의 즐거움을 한꺼번에 빼앗길 수 있다. 도커 환경에 대한 사용자들의 높은 충성도, 혹은 의존도를 지나치게 믿는 건 위험할 수 있다.

또한 도커 유료화의 성공 여부에 따라 여러 IT 서비스들이 보안을 유로 서비스 유입 요인으로 활용할 수 있을 것으로 보인다. 도커의 움직임이 보안 시장에 새로운 활력소가 될 수 있을지, 혹은 소비자들은 보안에 돈을 내지 않는다는 전통의 벽에 가로막힐지에 귀추가 주목된다.

3줄 요약
1. 도커, 데스크톱 유틸리티인 도커 데스크톱 사용자들에게 구독료 받기로 함.
2. 250명 이상 조직들이라면 앞으로 유료로 도커 데스크톱 사용해야 함.
3. 가격 인상의 이유는 ‘보안.’ 사용자들, 곧 나올 도커 보안 기능 눈여겨 볼 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)