Home > 전체기사

컨테이너 노리는 사이버 공격자들의 움직임, 정교해지고 넓어졌다

  |  입력 : 2021-06-22 14:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공격자들의 관심사 중 하나는 컨테이너다. 사용자가 늘어났기 때문이다. 올해는 작년보다 훨씬 많은 컨테이너 공격이 발생 중에 있다. 그리고 부릴 수 있는 기술의 가짓수도 많아졌다. 컨테이너를 보다 깊이 파악하기 시작한 해커들의 행보에 대한 경고가 나오는 이유다.

[보안뉴스 문가용 기자] 컨테이너 환경과 도커(Docker) 이미지 공급망을 겨냥한 사이버 공격자들의 전략은 주로 2개로 나뉜다. 타이포스쿼팅(typosquatting)과 크리덴셜 스터핑(credential stuffing)이다. 컨테이너를 겨냥한 이 두 가지 유형의 공격은 2020년 2사분기 동안 600% 증가했다고 한다. 이러한 실상을 보안 업체 아쿠아 시큐리티(Aqua Security)가 발표했다.

[이미지 = utoimage]


먼저 공격자들은 쇼단(Shodan)이나 엔맵(Nmap)과 같은 도구를 사용해 스캔을 실시한다. 목적은 도커 데몬이나 큐버네티스 컨테이너 오케스트레이션 플랫폼이 호스팅 된 서버를 찾기 위함이다. 그런 다음 서버가 발견되면 기존에 보유하고 있던 크리덴셜들을 대입해 보고나 취약점을 익스플로잇 한다. 그 외에 타이포스쿼팅 공격을 실시하기도 한다. 인기 높은 도커 이미지와 똑같거나 비슷한 이름의 이미지를 준비해 개발자들이 이를 잘못 검색해 찾기를 바라는 것이다.

이런 식으로 서버에 접근하는 데 성공했다면 공격자들은 암호화폐 채굴 소프트웨어를 주로 심거나 컨테이너를 탈출해 호스트 시스템을 장악한다고 아쿠아 시큐리티의 수석 데이터 분석가인 아사프 모라그(Assaf Morag)는 설명한다. “클라우드로 인프라를 옮기는 조직이 많아지다 보니 공격자들이 이를 연구하게 된 것입니다. 그러면서 컨테이너와 이미지들에서의 취약점도 계속해서 발굴되고 있죠. 작년 말에 이미 이미지들의 51%에서 치명적인 취약점들이 발견됐었고, 이중 0.2%는 악성 요인을 포함하고 있었습니다.”

게다가 컨테이너를 자주 사용하는 개발자들 중 보안에 신경 쓰는 사람은 굉장히 드물다고 한다. “그렇기 때문에 설정 오류도 자주 일어나는 등 가벼운 실수로 심각한 결과가 초래되는 일이 발생합니다. 이를 공격자들도 잘 알고 있습니다. 그러나 스캔을 통해 취약한 서버들을 찾아내 공략하는 것입니다.”

아쿠아 시큐리티 측은 한 정상적인 회사가 공개된 도커 허브(Docker Hub) 레지스트리에 악성 자바스크립트 패키지를 호스팅하고 있는 것을 발견하기도 했다. 도커 허브는 각종 도커 이미지들이 공유되는 플랫폼이다. 누군가 이 회사의 크리덴셜을 훔쳐 악성 이미지를 회사 이름으로 호스팅하고 있었던 것이다. 아쿠아 측이 이를 알리자 회사는 곧바로 문제를 시정했다.

“현재 공격자들은 대단히 많은 수의 이미지들을 공격에 활용하고 있습니다. 작년에 비해 이 수는 현저히 높아졌습니다. 작년 전반기에는 컨테이너 이미지를 활용한 공격이 13건 발견됐는데, 올해 전반기에는 벌써 97건이 발견되고 있을 정도로요. 컨테이너 이미지를 담은 허니팟을 설정할 경우 5시간 내에 공격이 시작되기도 합니다.”

아쿠아 시큐리티가 설치한 허니팟에서는 큐버네티스와 여러 자동화 빌드 파이프라인을 활용해 취약한 서버에 애플리케이션을 구축하려는 시도도 많이 목격됐다. 공격자들은 시그니처 기반 탐지 기술을 회피하려고 실행파일을 패킹하기도 했고, 보안 장치를 무력화시키고 메모리 내에서만 악성 코드를 실행시키는 방법을 구현하기도 했다고 한다. 즉 공격자들의 각종 컨테이너 기술 활용 능력이 높아지고 있다는 뜻이다.

2020년 공격자들이 한 개의 컨테이너를 공략하는 데 주력했다면 2021년 공격자들은 컨테이너 클러스터를 공략하는 데 주력하고 있다. 즉 큐버네티스나 K8과 같은 플랫폼들이 공격에 노출되고 있다는 것이다. 이런 플랫폼을 공격할 경우 공격자들은 적은 비용으로 훨씬 높은 효과를 거둘 수 있게 된다고 모라그는 설명한다.

“공격자 입장에서는 큐버네티스와 K8을 공격하는 게 훨씬 효용성 높은 일이 됩니다. 게다가 방어자 입장에서는 이런 플랫폼을 통째로 보호하는 게 컨테이너 하나하나 보호하는 것보다 더 어렵죠. 방어자는 어려워지고 공격의 효과는 높아지니, 공격자들이 클러스터를 공략하지 않을 이유가 없는 겁니다. 그것이 요즘 컨테이너 관련 리스크 부문의 최신 유행입니다.”

3줄 요약
1. 작년에 비해 월등하게 빈번해진 컨테이너 환경 공격.
2. 작년에는 컨테이너 하나하나 공격했다면 지금은 클러스터 플랫폼을 공격.
3. 공격 기술력도 높아지고, 공격자들의 능력치도 높아지고, 방어는 까다로워지고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)