|  입력 : 2018-12-10 16:19

#정보보호 #정보보안 #IT보안 #사이버보안 #컨테이너 #큐버네티스 #클라우드 #데브옵스 #취약점 #사건사고

권한이 조금 있는 자나 없는 자 모두 관리자 권한 가져가게 해줘
클라우드 환경 전체로 들어갈 수 있는 대문 열어준 것과 같은 취약점

[보안뉴스 문가용 기자] 처음으로 위험한 취약점이 큐버네티스(Kubernetes)에서 발견됐다. 이 취약점의 위험도는 10점 만점에 9.8점을 기록하고 있다. 이 취약점은 CVE-2018-1002105로 권한 상승을 유발하며, 승인을 받은 공격자와 공격을 받지 못한 공격자 모두 큐버네티스에 접근할 수 있게 해준다고 한다.


승인을 받은 사용자의 경우, 특히 첨부(attach), 실행(exec), 포트포워드(portforward) 권한이 있을 때, 이 권한들을 관리자급 권한으로 상승시켜 사실상 그 어떤 프로세스라도 실행시키는 게 가능하게 된다.

승인을 받지 않은 사람의 경우, 세 가지 특수한 모듈들에서 사용되는 API를 통해 쿼리를 보낼 수 있게 된다. 이 쿼리는 어떤 값을 되돌려주는데, 이를 통해 권한을 관리자급으로 올려 콘테이너 클러스터에 구현된 모든 API에 접근할 수 있게 된다.

“조직들의 아키텍처에 따라 조금씩 다르긴 한데, 이 취약점은 클라우드 전체 환경으로 들어가는 대문을 열어두는 것과 마찬가지 효과를 냅니다.” 보안 업체 콜파이어(Coalfire)의 수석 사이버 엔지니어인 닉 모리스(Nick Morris)의 설명이다. “게다가 이 취약점을 통한 공격은 탐지가 어렵습니다. 그게 문제의 심각성을 가중시킵니다.”

이 취약점의 범위가 크다는 것도 문제를 더 심각하게 만든다. “큐버네티스 1.0 버전부터 이 취약점이 발견됩니다. 게다가 큐버네티스는 굉장히 복잡한 소프트웨어입니다. 코드베이스가 방대하죠. 그렇기 때문에 여기서부터 다양한 보안 문제가 파생할 수 있습니다. 지금으로서는 전혀 예측이 안 되죠.” 보안 업체 스택락스(StackRox)의 부회장인 웨이 리엔 당(Wei Lien Dang)의 설명이다.

그러나 이번에 발견된 큐버네티스 취약점의 가장 큰 문제는, 큐버네티스 자체가 가진 강점들이 보안에 취약한 것이기 때문이다. “큐버네티스의 인기가 올라가고 있는 이유는 속도, 오케스트레이션, 자동화, 확장성입니다. 이 속성은 보안의 관점에서는 큰 약점이 됩니다. 빠르고 유연하게 공격 표적에 닿을 수 있게 해주기 때문입니다.” 보안 업체 수모 로직(Sumo Logic)의 CSO인 조지 거초우(George Gerchow)의 설명이다.

다행인 건 이 문제에 대한 픽스가 두 가지 있다는 것이다. 하나는 버전 업이다. 큐버네티스 인스턴스를 1.10.11, 1.11.5, 1.12.3, 1.13.0-rc1으로 업데이트 함으로써 문제를 해결할 수 있다. 대형 클라우드 업체들 역시 자신들의 인스턴스들을 업데이트 했다고 발표했다. 큐버네티스 공급 업체들 역시 이렇게 하고 있으니 사용자들 각기 이 부분에 대해서 알아봐야 한다.

하지만 이번에 발견된 취약점 덕분에 이득을 볼 수 있는 부분도 있다. 이번 큐버네티스를 핑계 삼아 패치와 업데이트 관련 정책을 다시 한 번 점검할 수 있기 때문이다. 리엔 당은 “의외로 많은 기업들이 자꾸만 취약점 업데이트 기회를 놓친다”며 “큐버네티스의 잠재력에 놀란 기업들일수록 이번 취약점 사태를 기회로 받아들여야 할 것”이라고 제안했다.

하지만 업데이트할 여건이 갖춰지지 않은 곳도 있을 것이다. 그런 사용자나 기업들에 맞는 두 번째 위험 완화 방법은 이 링크(https://github.com/kubernetes/kubernetes/issues/71411)에 소개된 절차를 밟는 것이다. 하지만 이는 충분히 검증되지 않은 방법으로 기존 운영의 일부분이 끊기거나 마비될 수 있다. 거초우는 “이 기회에 많은 기업들이 클라우드와 큐버네티스 아키텍처에 대한 가시성을 보다 넓게 확보해야 할 것”이라고 말했다.

3줄 요약
1. 큐버네티스에서 처음으로 심각한 취약점이 발견됨. 10점 만점에 9.8점.
2. “클라우드 전체 환경으로 들어가는 대문을 열어둔 것과 같은 취약점”
3. 패치와 추가 완화법 등장. 이 기회에 클라우드 가시성 및 패치 기회 확보할 수 있을 것.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  공격하라고 부추기는 건가? 한 보안 전문가의...

• 2

  미국, 개인정보 유출 우려로 문서세단기 시장...

• 3

  [편집국장의 보안레터] 정보보호정책관 폐지 ...

• 4

  리눅스 와이파이 드라이버에서 4년 묵은 취약...

• 5

  [2019 국감] 최근 3년간 스마트홈 Io...

• 1

  [이슈칼럼] 정보보호정책관 마저도 폐지되는가...

• 2

  도커 호스트 감염시켜가며 암호화폐 채굴하는 ...

• 3

  랜섬웨어 공격자들, 갈수록 실력과 전략성 향...

• 4

  [이슈칼럼] 디지털 시대의 핵심 경쟁력 정보...

• 5

  한미영 등 32개국 공조, 아동음란물 다크웹...

• 1

  [EDR 리포트] 미확인 보안위협 잡는 차세...

• 2

  엠클라우독, 베트남서 문서중앙화 클라우드 서...

• 3

  유럽 주요 공항 내 컴퓨터 절반에 설치되어 ...

• 4

  윈스, KT 목동 IDC 클라우드 보안관제센...

• 5

  갤럭시노트10 ‘지문인식’ 실리콘케이스로 ...