세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
큐버네티스에서 사상 첫 치명적인 취약점 발견
  |  입력 : 2018-12-10 16:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
권한이 조금 있는 자나 없는 자 모두 관리자 권한 가져가게 해줘
클라우드 환경 전체로 들어갈 수 있는 대문 열어준 것과 같은 취약점


[보안뉴스 문가용 기자] 처음으로 위험한 취약점이 큐버네티스(Kubernetes)에서 발견됐다. 이 취약점의 위험도는 10점 만점에 9.8점을 기록하고 있다. 이 취약점은 CVE-2018-1002105로 권한 상승을 유발하며, 승인을 받은 공격자와 공격을 받지 못한 공격자 모두 큐버네티스에 접근할 수 있게 해준다고 한다.

[이미지 = iclickart]


승인을 받은 사용자의 경우, 특히 첨부(attach), 실행(exec), 포트포워드(portforward) 권한이 있을 때, 이 권한들을 관리자급 권한으로 상승시켜 사실상 그 어떤 프로세스라도 실행시키는 게 가능하게 된다.

승인을 받지 않은 사람의 경우, 세 가지 특수한 모듈들에서 사용되는 API를 통해 쿼리를 보낼 수 있게 된다. 이 쿼리는 어떤 값을 되돌려주는데, 이를 통해 권한을 관리자급으로 올려 콘테이너 클러스터에 구현된 모든 API에 접근할 수 있게 된다.

“조직들의 아키텍처에 따라 조금씩 다르긴 한데, 이 취약점은 클라우드 전체 환경으로 들어가는 대문을 열어두는 것과 마찬가지 효과를 냅니다.” 보안 업체 콜파이어(Coalfire)의 수석 사이버 엔지니어인 닉 모리스(Nick Morris)의 설명이다. “게다가 이 취약점을 통한 공격은 탐지가 어렵습니다. 그게 문제의 심각성을 가중시킵니다.”

이 취약점의 범위가 크다는 것도 문제를 더 심각하게 만든다. “큐버네티스 1.0 버전부터 이 취약점이 발견됩니다. 게다가 큐버네티스는 굉장히 복잡한 소프트웨어입니다. 코드베이스가 방대하죠. 그렇기 때문에 여기서부터 다양한 보안 문제가 파생할 수 있습니다. 지금으로서는 전혀 예측이 안 되죠.” 보안 업체 스택락스(StackRox)의 부회장인 웨이 리엔 당(Wei Lien Dang)의 설명이다.

그러나 이번에 발견된 큐버네티스 취약점의 가장 큰 문제는, 큐버네티스 자체가 가진 강점들이 보안에 취약한 것이기 때문이다. “큐버네티스의 인기가 올라가고 있는 이유는 속도, 오케스트레이션, 자동화, 확장성입니다. 이 속성은 보안의 관점에서는 큰 약점이 됩니다. 빠르고 유연하게 공격 표적에 닿을 수 있게 해주기 때문입니다.” 보안 업체 수모 로직(Sumo Logic)의 CSO인 조지 거초우(George Gerchow)의 설명이다.

다행인 건 이 문제에 대한 픽스가 두 가지 있다는 것이다. 하나는 버전 업이다. 큐버네티스 인스턴스를 1.10.11, 1.11.5, 1.12.3, 1.13.0-rc1으로 업데이트 함으로써 문제를 해결할 수 있다. 대형 클라우드 업체들 역시 자신들의 인스턴스들을 업데이트 했다고 발표했다. 큐버네티스 공급 업체들 역시 이렇게 하고 있으니 사용자들 각기 이 부분에 대해서 알아봐야 한다.

하지만 이번에 발견된 취약점 덕분에 이득을 볼 수 있는 부분도 있다. 이번 큐버네티스를 핑계 삼아 패치와 업데이트 관련 정책을 다시 한 번 점검할 수 있기 때문이다. 리엔 당은 “의외로 많은 기업들이 자꾸만 취약점 업데이트 기회를 놓친다”며 “큐버네티스의 잠재력에 놀란 기업들일수록 이번 취약점 사태를 기회로 받아들여야 할 것”이라고 제안했다.

하지만 업데이트할 여건이 갖춰지지 않은 곳도 있을 것이다. 그런 사용자나 기업들에 맞는 두 번째 위험 완화 방법은 이 링크(https://github.com/kubernetes/kubernetes/issues/71411)에 소개된 절차를 밟는 것이다. 하지만 이는 충분히 검증되지 않은 방법으로 기존 운영의 일부분이 끊기거나 마비될 수 있다. 거초우는 “이 기회에 많은 기업들이 클라우드와 큐버네티스 아키텍처에 대한 가시성을 보다 넓게 확보해야 할 것”이라고 말했다.

3줄 요약
1. 큐버네티스에서 처음으로 심각한 취약점이 발견됨. 10점 만점에 9.8점.
2. “클라우드 전체 환경으로 들어가는 대문을 열어둔 것과 같은 취약점”
3. 패치와 추가 완화법 등장. 이 기회에 클라우드 가시성 및 패치 기회 확보할 수 있을 것.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술