가상화 담당하는 솔루션, 도커...사용자들의 설정 오류로 공격 통로돼
이런 식의 설정 오류 통한 공격 막기 위해선 조직 전체 보안 능력 강화해야

[보안뉴스 문가용 기자] 위협 행위자들이 잘못 설정된 도커(Docker) 컨테이너를 활용해 암호화폐 채굴 멀웨어를 배포하고 있는 것이 보안 업체 트렌드 마이크로(Trend Micro)에 의해 적발됐다.


트렌드 마이크로는 자사 블로그를 통해 “도커는 OS 레벨에서 가상화 기술을 도입하는 솔루션으로, 도커를 사용한 가상화를 컨테이너라이제이션(containerization)이라고 부르기도 한다”고 설명한다.

“도커 API들은 사용자들이 원격에서 도커 이미지를 제어할 수 있게 해줍니다. 로컬의 도커 클라이언트와 동일한 권한을 갖게 되는 것이죠. 이를 해커들이 남용하면 원격에서 도커 이미지를 마음대로 사용할 수 있게 됩니다. 그렇기에 API 포트를 외부에서 접근할 수 없게 설정하는 게 일반적입니다.”

이 부분에서 이미 눈치를 챌 수 있지만, 도커 사용자들 중 설정에 오류를 범하는 사람이 반드시 나타나기 마련이고, 실제로 API 포트를 열어둔 채 사용한 사람들 중 일부가 암호화폐 채굴 공격을 받았다고 한다. “이는 도커 엔진 자체의 침해로 인한 것이 아니며, 도커라는 플랫폼의 문제도 아닙니다. 철저히 사용자 측의 설정 오류로 인한 결과죠. 특히 관리자 수준에서 발생한 문제라고 볼 수 있습니다.”

트렌드 마이크로는 “사용자들의 설정 오류로 사고가 발생하는 게 이번이 처음은 아니지만, 꽤나 오랜 기간 문제로 남아있을 수 있다”고 말한다. “특히 중국에서 이 문제가 심각합니다. 도커 호스트들 거의 대부분이 잘못된 설정 상태를 유지하고 있거든요.” 중국에 이러한 도커들이 워낙 많아서 첫 번째로 언급하긴 했지만 “미국, 프랑스, 독일, 싱가포르, 네덜란드, 영국, 일본, 인도, 아일랜드와 같은 나라도 문제가 심각하다”고 한다. “특히 리눅스 계열 OS에서 운영되는 도커에 문제가 많습니다.”

또한 도커 호스트의 절반 이상이 18.06.1-ce 버전을 사용 중에 있다는 것도 중요한 지적 사항이었다. “18.06.1-ce는 굉장히 최근에 나온 버전이긴 합니다. 그런데 유독 이 버전에서 잘못 설정된 도커가 많더군요. 물론 다른 버전들에도 설정 오류 문제가 나타나긴 합니다만.”

이를 발견한 공격자들은 주로 1) 노출된 API 포트를 통해(즉 설정 오류를 통해) 도커 콘테이너를 생성하고, 2) 시스템 패키지 관리자를 사용해 wget 패키지를 설치하고, 3) 이 wget을 사용해 자동 설치 스크립트를 다운로드 한 후, 4) 이 스크립트를 도스 포맷에서 유닉스 포맷으로 변환한 뒤 5) 실행 권한을 설정해 실행시킨다고 한다.

도커 API의 남용 문제는 이전에도 있었다. “2017년 4월 비슷한 공격이 있었습니다. 비슷한 설정 오류를 알아챈 공격자들이 추가 SSH 키를 시스템에 심고, 디도스 봇을 설치한 것이죠. 뿐만 아니라 다른 멀웨어도 심어서 기기가 부팅될 때마다 디도스 봇이 자동으로 시작되도록 꾸미기도 했습니다.”

이러한 공격을 막기 위해서는 제일 먼저 조직 내 전반적인 보안을 강화하는 것이 중요하다고 트렌드 마이크로는 강조한다. “컨테이너 이미지들을 사용할 때 인증 과정을 반드시 거치도록 하고, 또한 신뢰할 수 있는 레지스트리로부터 접근이 가능하도록 해야 합니다. 또한 권한을 최소한으로 부여해야 안전하다는 걸 염두에 두어야 하고, 설정도 늘 확인하고 모니터링해야 합니다. 도커 내에 탑재되어 있는 보안 기능도 최대한 연구해 활용하는 게 좋습니다.”

3줄 요약
1. 가상화 혹은 컨테이너화에 많이 사용되는 도커에서 설정 오류 발견됨.
2. 외부 포트를 통한 접근을 허용한 것인데, 이를 통해 공격자들이 암호화폐 채굴 시작.
3. 방어 위해서는 권한 부여와 디지털 자산 모니터링을 전반적으로 강화해야.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>