Home > 전체기사

도커도 이제 공격 통로! 악성 이미지 늘어나고 있다

  |  입력 : 2020-12-02 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
도커 허브의 이미지들 400만 개 분석했더니...치명적 취약점 있는 것이 절반 넘어
노골적인 공격 요소들 포함한 것도 6400여 개...이제 도커 이미지도 어엿한 공격 통로


[보안뉴스 문가용 기자] 최근 도커 허브(Docker Hub)에서 유통되고 있는 도커 이미지들에서 치명적인 취약점들이 다수 발견되었다. 이미지들의 절반 이상이 취약점을 가지고 있고, 대놓고 공격 도구로 사용되는 이미지들이 수천 개에 다다른다고 한다. 보안 업체 프레바시오(Prevasio)가 400만 개의 이미지들을 분석해 내놓은 결과다.

[이미지 = utoimage]


먼저 악성 요소들 혹은 공격을 목적으로 심겨진 요소들 중 가장 많은 건 암호화폐 채굴 코드, 악성 자바스크립트 패키지, 해킹 도구, 윈도 멀웨어 등이었다고 한다. 6400개 이상의 이미지에서 이런 요소들이 발견됐다. 오래된 소프트웨어에서 기인한 치명적 취약점을 하나 이상 내포한 이미지는 400만 개 중 51%, 고위험군 취약점을 가진 이미지는 13%로 기록됐다. 공개된 취약점이 하나도 없는 이미지는 20%에 불과했다.

프레바시오의 CEO인 로니 모시코비치(Rony Moshkovich)는 “도커 이미지들을 보호해야 할 공급망의 하나로 봐야 한다”고 주장한다. “이제 컨테이너를 공격의 도구로서나 공격 경로의 일부로서 활용하는 해커들이 매달 여러 번 나타나는 형국입니다. 이런 공격자들은 앞으로 더 많아질 전망입니다. 도커 컨테이너를 활용해 공격을 실시하는 것이 그리 어렵지 않기 때문입니다.”

소프트웨어 공급망은 보안에서 간과할 수 없는 공격 경로가 되어가고 있다. 공급망의 중간 중간에 여러 악성 요소를 삽입하는 방법을 공격자들이 계속해서 개발하고 있기 때문이다. 지난 4월 보안 업체 리버싱랩스(ReversingLabs)의 연구원들은 공격자들이 루비젬(RubyGem)이라는 리포지터리를 오염시켜 약 760개의 악성 패키지들을 유통시키는 중이라는 사실을 발표한 바 있다. 루비 언어를 사용하는 개발자들 사이에서 루비젬은 대단히 인기가 높은 코드 저장소이다.

지난 10월 발표된 한 보고서에 의하면 도커 컨테이너들은 오래된 소프트웨어의 보고라고 한다. 즉 취약한 소프트웨어들이 잔뜩 저장되어 있다는 것이다. 해당 보고서를 통해 전문가들은 특히 의료 이미징 분석에서 사용되는 컨테이너들에서 많은 취약점을 찾아냈다고 알려왔다. 이 분야의 컨테이너가 평균 320개의 취약점을 가지고 있다는 것으로, 20%는 최소 고위험군에 속해 있었다.

프레바시오의 보안 전문가 알렉스 엑켈베리(Alex Eckelberry)는 “기업들이라고 해서 의료 분야보다 더 낫다고 할 수 없다”고 설명한다. “기업 환경에서 사용되는 기업형 애플리케이션들, 특히 구조가 대단히 복잡한 애플리케이션들은, 이제 도커를 표준 사양인 것처럼 도입하고 있습니다. 대기업 다수에서 도커를 이런 저런 형태로 활용하고 있는 것을 발견하는 건 어려운 일이 아닙니다. 이런 환경에서 공격자들이 도커를 가만히 지켜볼 리가 없죠. 실제 도커는 어엿한 공격 활로가 되고 있는 게 사실입니다.”

프레바시오가 400만 개의 이미지들을 분석하는 데 걸린 시간은 약 한 달이었다고 한다. 취약점과 악성 요소를 발견하기 위한 분석이었는데, 0.16%에서 악성 요소들이 나타났다. 이를 숫자로 환산하면 6433개가 된다. 오픈소스 스캐너인 클램AV(ClamAV)로 식별하는 데 성공한 것들만이다. 그 외에도 수작업으로 분석한 것들도 수백 개에 다다른다고 한다.

“정적 분석을 했을 때는 아무런 악성 요소가 없는 이미지들이 상당수였습니다. 이런 이미지들은 시동이 걸리면 다른 곳에서부터 멀웨어 코드를 다운로드 받아 실시하는 것들이죠.” 프레바시오의 CTO인 세르게이 체브첸코(Sergei Chevchenko)의 설명이다. “이런 이미지들을 정확하게 분석하려면 동적 분석을 해야 합니다.”

소프트웨어 구성 분석 전문 기업들도 리포지터리들에 대한 정적 및 동적 분석을 꾸준히 실시하고 있다. Node.js 자바스크립트 애플리케이션들을 위한 노드 패키지 매니저(NPM)이나 파이선 패키지 인덱스(PyPI), 위에 언급되었던 루비젬스 등이 주요 스캔 대상이다. 도커 역시 취약점 스캔 전문 업체인 스나이크(Snyk)와 협약을 통해 도커 허브를 주기적으로 검사한다고 한다.

3줄 요약
1. 오래된 소프트웨어의 천국, 도커 허브.
2. 악성 요소들 포함한 이미지들도 6000개 넘게 발견됨.
3. 리포지터리에 대한 주기적이고 동적인 분석 이어져야 할 때.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협