Home > 전체기사
큐버네티스에서 사상 첫 치명적인 취약점 발견
  |  입력 : 2018-12-10 16:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
권한이 조금 있는 자나 없는 자 모두 관리자 권한 가져가게 해줘
클라우드 환경 전체로 들어갈 수 있는 대문 열어준 것과 같은 취약점


[보안뉴스 문가용 기자] 처음으로 위험한 취약점이 큐버네티스(Kubernetes)에서 발견됐다. 이 취약점의 위험도는 10점 만점에 9.8점을 기록하고 있다. 이 취약점은 CVE-2018-1002105로 권한 상승을 유발하며, 승인을 받은 공격자와 공격을 받지 못한 공격자 모두 큐버네티스에 접근할 수 있게 해준다고 한다.

[이미지 = iclickart]


승인을 받은 사용자의 경우, 특히 첨부(attach), 실행(exec), 포트포워드(portforward) 권한이 있을 때, 이 권한들을 관리자급 권한으로 상승시켜 사실상 그 어떤 프로세스라도 실행시키는 게 가능하게 된다.

승인을 받지 않은 사람의 경우, 세 가지 특수한 모듈들에서 사용되는 API를 통해 쿼리를 보낼 수 있게 된다. 이 쿼리는 어떤 값을 되돌려주는데, 이를 통해 권한을 관리자급으로 올려 콘테이너 클러스터에 구현된 모든 API에 접근할 수 있게 된다.

“조직들의 아키텍처에 따라 조금씩 다르긴 한데, 이 취약점은 클라우드 전체 환경으로 들어가는 대문을 열어두는 것과 마찬가지 효과를 냅니다.” 보안 업체 콜파이어(Coalfire)의 수석 사이버 엔지니어인 닉 모리스(Nick Morris)의 설명이다. “게다가 이 취약점을 통한 공격은 탐지가 어렵습니다. 그게 문제의 심각성을 가중시킵니다.”

이 취약점의 범위가 크다는 것도 문제를 더 심각하게 만든다. “큐버네티스 1.0 버전부터 이 취약점이 발견됩니다. 게다가 큐버네티스는 굉장히 복잡한 소프트웨어입니다. 코드베이스가 방대하죠. 그렇기 때문에 여기서부터 다양한 보안 문제가 파생할 수 있습니다. 지금으로서는 전혀 예측이 안 되죠.” 보안 업체 스택락스(StackRox)의 부회장인 웨이 리엔 당(Wei Lien Dang)의 설명이다.

그러나 이번에 발견된 큐버네티스 취약점의 가장 큰 문제는, 큐버네티스 자체가 가진 강점들이 보안에 취약한 것이기 때문이다. “큐버네티스의 인기가 올라가고 있는 이유는 속도, 오케스트레이션, 자동화, 확장성입니다. 이 속성은 보안의 관점에서는 큰 약점이 됩니다. 빠르고 유연하게 공격 표적에 닿을 수 있게 해주기 때문입니다.” 보안 업체 수모 로직(Sumo Logic)의 CSO인 조지 거초우(George Gerchow)의 설명이다.

다행인 건 이 문제에 대한 픽스가 두 가지 있다는 것이다. 하나는 버전 업이다. 큐버네티스 인스턴스를 1.10.11, 1.11.5, 1.12.3, 1.13.0-rc1으로 업데이트 함으로써 문제를 해결할 수 있다. 대형 클라우드 업체들 역시 자신들의 인스턴스들을 업데이트 했다고 발표했다. 큐버네티스 공급 업체들 역시 이렇게 하고 있으니 사용자들 각기 이 부분에 대해서 알아봐야 한다.

하지만 이번에 발견된 취약점 덕분에 이득을 볼 수 있는 부분도 있다. 이번 큐버네티스를 핑계 삼아 패치와 업데이트 관련 정책을 다시 한 번 점검할 수 있기 때문이다. 리엔 당은 “의외로 많은 기업들이 자꾸만 취약점 업데이트 기회를 놓친다”며 “큐버네티스의 잠재력에 놀란 기업들일수록 이번 취약점 사태를 기회로 받아들여야 할 것”이라고 제안했다.

하지만 업데이트할 여건이 갖춰지지 않은 곳도 있을 것이다. 그런 사용자나 기업들에 맞는 두 번째 위험 완화 방법은 이 링크(https://github.com/kubernetes/kubernetes/issues/71411)에 소개된 절차를 밟는 것이다. 하지만 이는 충분히 검증되지 않은 방법으로 기존 운영의 일부분이 끊기거나 마비될 수 있다. 거초우는 “이 기회에 많은 기업들이 클라우드와 큐버네티스 아키텍처에 대한 가시성을 보다 넓게 확보해야 할 것”이라고 말했다.

3줄 요약
1. 큐버네티스에서 처음으로 심각한 취약점이 발견됨. 10점 만점에 9.8점.
2. “클라우드 전체 환경으로 들어가는 대문을 열어둔 것과 같은 취약점”
3. 패치와 추가 완화법 등장. 이 기회에 클라우드 가시성 및 패치 기회 확보할 수 있을 것.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제