사이버아크, 개념증명용 공격 성공...명칭 공간 덮어쓰기로 벽 허물기
컨테이너 만드는 도커는 “패치 안 하면 어떤 소프트웨어든 다 취약하다”

[보안뉴스 문가용 기자] 보안 업체 사이버아크(CybeArk)가 컨테이너 보안 장치를 우회하거나, 컨테이너를 탈출해 호스트 시스템 전체를 침해하는 공격을 성공시켰다. 하지만 이 공격이 성공하려면 호스트 시스템에 패치되지 않은 취약점들이 반드시 존재해야만 한다는 조건이 붙는다.


사이버아크의 보안 전문가 님로드 스톨러(Nimrod Stoler)는 “코드 20줄 정도만으로 컨테이너를 탈출할 수 있었다”며 이 방법을 미국 현지 시각으로 월요일 공개했다. 스톨러는 “이 공격에 사용된 대표적인 취약점은 리눅스의 권한 상승 취약점인 CVE-2017-7308”이라고 소개했다. “이 취약점이 호스트 시스템에 있어야 저희가 개발한 공격법이 통합니다.”

공격 시나리오는 다음과 같다.
1) 공격자가 컨테이너 내부에서 돌아가는 웹사이트를 하나 감염시킨다.
2) 웹사이트 침해에 성공하면 사이버아크가 개념증명용으로 발표한 기술을 사용해 컨테이너를 탈출한다.
3) 호스트를 감염시킨다.
4) 호스트가 해커의 손으로 넘어가고, 코호스트 콘테이너들을 계속해서 가염시키거나 네트워크에서 횡적으로 움직인다.

사이버아크의 보안 전문가인 라비 라자로비츠(Lavi Lazarovitz)는 “저희의 공격 시나리오에 의하면 컨테이너의 심층 방어 전략이 아주 안 통하는 건 아니지만, 임시방편일뿐”이라고 한다. “결국 익스플로잇의 페이로드를 확장함으로써 컨테이너의 명칭 공간을 조작할 수 있는 코드를 삽입해 방어 체제를 무력화하고 컨테이너를 탈출할 수 있었습니다.”

도커 컨테이너의 경우 다양한 보안 장치들을 가지고 있고, 이를 통해 컨테이너와 호스트가 공유하는 컨테이너를 보호하는 것으로 알려져 있다. 또한 명칭 공간과 시그룹(cgroup)들도 보호되어 있다고 한다. 명칭 공간이란 컨테이너 격리를 위한 리눅스 커널의 핵심 기능이고, 시그룹은 ‘제어 그룹(control group)’의 약자로, 도커 엔진이 하드웨어 자원을 공유할 수 있도록 해준다.

사이버아크가 제시한 공격 기법은 제일 먼저 컨테이너의 명칭 공간을 호스트의 명칭 공간으로 덮어쓰기 하는 것부터 시작한다. “setns syscall을 호출함으로써 현재 프로세스의 명칭 공간을 바꿀 수 있습니다. 이는 결국 컨테이너들 사이의 명칭 공간의 벽을 허무는 것과 같습니다. 뿐만 아니라 컨테이너와 호스트 사이의 벽도 깨부수는 일이 됩니다.” 보다 상세한 기술적 내용은 보고서를 통해 열람이 가능하다.

컨테이너와 가상화를 전문으로 하는 기업인 도커(Docker)는 “결국 호스트가 제대로 패치를 하지 않은 채 컨테이너를 운영하면 어떤 컨테이너 생태계라도 망가질 수 있다”고 발표했다. “컨테이너를 잘 쓰려면 결국 커널을 잘 보호해야 합니다. 컨테이너도 결국 소프트웨어고, 그렇다는 건 환경이 되는 시스템의 보안이 얼마나 튼튼하냐에 따라 약해질 수도, 강력해질 수도 있다는 뜻입니다.”

이에 대해 사이버아크의 전문가들도 어느 정도는 동의한다. “저희가 이번 개념증명용으로 개발한 익스플로잇과 공격 기술은 CVE-2017-7308을 주로 노리는 건데, 이 취약점은 이미 패치가 나온 것입니다. 하지만 그 외 많은 취약점들을 통해서도 컨테이너 탈출 공격은 가능합니다. 호스트의 패치를 통해 이 공격을 무력화하려면 취약점이 하나도 없을 정도로 꼼꼼하게 패치 작업을 진행해야 할 겁니다.”

그러면서 스톨러는 “(패치만이 아니라) 컨테이너와 호스트를 보호하기 위한 보다 근원적인 해결책이 있을 것으로 보인다”고 주장한다. 지난 달 도커는 컨테이너 탈출 취약점인 CVE-2019-5736을 패치하기도 했다.

3줄 요약
1. 보안 업체 사이버아크가 컨테이너를 탈출하게 해주는 공격 방식 발견.
2. 이 공격이 성립하려면 호스트에 취약점들이 있어야 함.
3. 호스트 패치 잘 하면 컨테이너 안전하다 vs. 좀더 근본적인 대책이 필요하다
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>