• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

큐브플로우를 통해 큐버네티스로 침투한 채굴 공격 최초로 발견 2020.06.12

큐버네티스 컨테이너 아키텍처에서 머신러닝 관련 임무 수행하는 큐브플로우
이 큐브플로우 통해 역으로 아키텍처에 들어가 채굴...대시보드가 인터넷 연결된 게 문제

[보안뉴스 문가용 기자] 독특한 사이버 공격 캠페인이 발견됐다. 공격 표적은 큐브플로우(Kubeflow)라는 큐버네티스용 머신러닝 툴킷이고, 공격 목적은 암호화폐 채굴이라고 한다. 이 캠페인을 처음 발견한 마이크로소프트가 관련 내용을 발표했다.

[이미지 = utoimage]


큐브플로우는 오픈소스 프로젝트로, 큐버네티스 환경에서 머신러닝 관련 작업을 처리하는 데에 용이하다. 그래서 인기가 매우 높기도 하다. 그런 상황에 4월부터 수상한 큐브플로우 이미지가 수천 개가 넘는 클러스터로 퍼져가기 시작했다. 모두 한 개의 공공 리포지터리에서 나온 것들이었다. 분석해 보니 오픈소스 암호화폐 채굴 멀웨어인 XM리그(XMRig)를 실행시키는 것이었다. XM리그는 모네로를 채굴하는 오픈소스 소프트웨어다.

“머신러닝과 관련된 일을 실시하는 노드들은 대부분 고사양 장비로 구성되어 있습니다. 그런 장비들에는 강력한 GPU가 탑재되어 있을 가능성이 높기도 하고요. 성능 좋고 GPU까지 양호한 장비라면 채굴에 안성맞춤이죠. 암호화폐 채굴을 전문으로 하는 자들이 최근 큐버네티스 환경의 큐브플로우가 이런 식으로 활용될 수 있다는 사실을 간파한 것으로 보입니다.” MS의 보안 엔지니어인 요시 웨이즈만(Yossi Weizman)의 설명이다.

웨이즈만은 “큐브플로우가 머신러닝 모델을 필요로 하는 태스크를 관리할 때 사용되는 것으로, 머신러닝 알고리즘을 구축하고 활용하는 그 복잡하고 어려운 단계를 간단하게 만들어주기 때문에 인기가 높은 것”이라고 설명했다. 또한 이 큐브플로우가 큐버네티스라는 컨테이너 환경에 종속되어 있다는 건, “큐브플로우로 실행하는 각동 태스크들이 각각의 컨테이너 형태로 존재한다는 뜻”이 된다. “즉 각각의 태스크가 핵심 큐버네티스 아키텍처로 진입하는 공격 경로가 될 수 있다는 것”이다.

“공격자들이 큐브플로우에 접근하는 데 성공했다면, 여러 가지 방법을 동원해 자신들이 만든 악성 이미지를 큐버네티스 아키텍처에서 실행하는 게 가능합니다. 큐브플로우는 이름 공간을 기준으로 각각의 영역으로 구분되어 있습니다. 큐브플로우는 이렇게 나뉜 것을 통합해 모아주는 서비스를 제공하고, 각각의 이름 공간들은 자원들이 배포되는 큐버네티스 이름 공간으로 전환됩니다.”

큐브플로우 기능은 사용자들이 각자의 태스크를 관리하는 데 활용하는 대시보드와 연결된 API 서버를 통해 제공된다. 보통 이 대시보드는 내부 게이트웨이를 통해서만 접근이 가능하고, API 서버로부터 트래픽을 우회시키는데, 이렇게 해야 외부 공격자들이 이 대시보드에 접근하는 게 어려워진다. 그러나 사용자들 역시 불편해지는 부분이 있고 따라서 설정을 바꿔 인터넷에 연결하는 사람들이 꽤 된다고 한다.

마이크로소프트가 고발한 암호화폐 채굴 캠페인도 외부로 노출된 큐브플로우 대시보드를 통해 시작되는 것으로 밝혀졌다. “악성 행위자들은 디폴트 이름인 anonymous를 사용해 자신들의 컨테이너를 만들고, 이곳에 악성 이미지를 호스팅 했습니다. 그런 후 인터넷에 연결된 큐브플로우 대시보드에 접근하고, 그 대시보드를 사용해 자신들이 만든 악성 이미지를 큐버네티스 전체 아키텍처에 뿌렸죠.”

이런 류의 공격에 대응하기 위해서는 어떻게 해야 할까? MS는 “큐브플로우가 사용되는 환경의 관리자라면 제일 먼저 대시보드가 인터넷에 노출되어 있는지 확인해야 한다”고 권장한다. “대시보드가 공공 인터넷에서 접근 가능한 IP 주소를 보유하고 있으면 위험할 수 있습니다. 다소 불편하더라도 인터넷을 차단시키는 게 맞습니다.”

이 공격은 “큐버플로우를 통해 큐버네티스 클러스터 전체를 공격한 첫 번째 사례”라고 한다. 그렇지만 큐버네티스나 도커로 대표되는 컨테이너 기술을 암호화폐 채굴에 사용한 사례는 여럿 있어 왔다. 심지어 큐버네티스 자체도 얼마 전 대규모 XM리그 배포 공격에 활용된 바 있다.

3줄 요약
1. 컨테이너 기술을 구현하는 데 있어 사용되는 대표 기술, 큐버네티스.
2. 이 중 머신러닝 관련 기능 실행하는 큐브플로우를 통해 사이버 공격 실시됨.
3. 공격의 실체는 모네로 채굴. 인터넷에 대시보드 연결한 것이 문제의 근원.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>