[CIOCISO매거진 장명국 기자] 키베르노(Kyverno)의 수락 제어기(admission controller)에서 발견된 고위험군 취약점을 통해 공격자들이 각종 악성 코드를 피해자의 클라우드 환경에 심을 수 있다는 경고가 나왔다. 수락 제어기는 시그니처를 확인하는 메커니즘을 가지고 있으며, 따라서 서명되고 확인된 컨테이너 이미지들만 활용될 수 있도록 해 준다. 악성 이미지를 유포하려는 공격자들의 시도가 확산되고 있는 지금, 이러한 방어 체제는 적잖은 도움이 될 수 있다.

문제의 취약점은 CVE-2022-47633으로, 서명 기반의 보안 메커니즘을 무력화시킬 수 있다. 보안 업체 아모(ARMO)는 자사 블로그를 통해 “이 취약점을 익스플로잇 한 공격자는 서명되지 않은 컨테이너 이미지를 피해자의 큐버네티스 환경에 주입할 수 있다”고 설명한다. 어떤 이미지를 주입하느냐에 따라 공격자는 피해자의 자산과 크리덴셜을 전부 가져갈 수 있게 되고, 큐버네티스 계정을 탈취해 API 서버에도 접근할 수 있게 된다고 아모는 경고했다.

“이 취약점은 이미지 시그니처 확인이라는 보안 제어 장치를 뛰어넘게 합니다. 이것만으로도 공격자는 큐버네티스 환경에서 여러 가지 공격을 실현시킬 수 있습니다. 비밀이 새나가고, 데이터가 조작되며, 각종 협박에 활용될 가능성이 높습니다.” 아모의 CTO 벤 허쉬버그(Ben Hirschberg)의 설명이다. “또한 필요에 따라 암호화폐 채굴 코드를 심어 피해자의 CPU 파워와 전기료를 엄청나게 끌어다가 쓸 수도 있습니다.”

버그 상세 보기
큐버네티스 API 서버에 새로운 워크로드(이 워크로드는 태그가 달린 이미지로 정의가 된다)에 대한 요청이 들어올 때, API 서버는 키베르노 수락 제어기에 해당 워크로드를 확인해 달라는 요청을 보낸다. 워크로드가 사용자의 클러스터에 들어가도 되는 건지 판단하려는 것인데, 이 때 수락 제어기 측에서는 컨테이너 레지스트리로부터 시그니처를 요청한다. 시그니처가 정상적인 것으로 분류되면 이미지 전체가 괜찮은 것으로 판단이 되며, 컨테이너 런타임은 워크로드를 처리하기 시작한다.

이 과정에서 제어기는 시그니처를 확인하기 위해 이미지 매니페스트(image manifest)를 두 번 다운로드 받는데, 실제 시그니처를 확인하는 건 한 번 뿐이라고 아모 측은 설명한다. 이를 활용한 공격의 순서는 다음과 같다고 아모는 블로그를 통해 묘사한다.

1) 관리자에게 소셜엔지니어링 공격을 실시해 악성 레지스트리나 프록시에서 컨테이너 이미지를 가져오도록 한다.
2) 이미지가 첫 번째로 임포트 될 때에는 악성 레지스트리에서 정상적으로 서명이 다 된 이미지를 내보낸다. 수락 제어기는 이를 받아들인다.
3) 수락 제어기는 서명된 이미지의 매니페스트를 한 번 더 요청한다. 이번에는 변이와 변종들에 대한 정보를 확인하기 위해서다. 이를 통해 사람이 해독할 수 있는 컨테이너 태그를 업데이트 한다.
4) 두 번째로 이미지를 확인할 때는 시그니처를 확인하지 않는다. 그래서 악성 레지스트리 쪽에서 첫 번째와 다른 악성 이미지를 내보내도 무사히 통과된다.

아모는 이를 두고 “전형적인 TOCTOU(time-of-check-to-time-of-use) 문제”라고 설명한다. “실제 투입되는 이미지와 확인 절차에서 사용되는 이미지를 바꿔치기 하는 건데, 이렇게 하니 절대로 악성 이미지가 걸리지 않는 겁니다.” 이 취약점이 발견된 건 1.8.3 버전에서였고, 1.8.5 버전을 통해 해결됐다. 키베르노 사용자라면 최대한 빨리 업데이트하는 게 안전하다.

이번 취약점은 키베르노와 결합해서 사용되는 큐버네티스 환경에서만 발현되는 것으로 다른 이미지 시그니처 확인 도구들과는 큰 상관이 없다. 다만 비슷한 원리로 시그니처를 확인하는 도구들이 있다면 비슷한 취약점이 존재할 수 있으니 확인은 확실히 필요하다고 허쉬버그는 강조한다.

컨테이너 보안, 점점 심각해지는 위협
컨테이너는 사이버 공격자들이 표적으로 삼기에 안성맞춤인 대상이다. 컨테이너들 대부분 컴퓨팅 자원이 풍부한 클라우드 환경에서 운영되기 때문이다. 일반 사용자가 구축하고 활용하기에는 너무나 많은 돈이 들어갈 수밖에 없는데 컨테이너를 공격함으로써 이를 무료로 사용할 수 있게 된다. 이 압도적인 컴퓨팅 자원을 활용해 암호화폐를 채굴한다거나 각종 자동화 기술을 활용한 악성 공격을 실시할 수 있게 되는 것이다.

허쉬버그는 “컨테이너 환경에 존재하는 위협에 대한 정확한 통계 수치는 존재하지 않는다”고 말하지만 “점점 더 구체적이고 만연한 위협이 되어가는 건 확실하다”는 입장이다. “보안 업계와 전문가들은 이 컨테이너 위협들을 어떻게 다루어야 하는지, 더 나아가 큐버네티스 환경을 어떻게 보호해야 하는지를 익히고 있습니다. 큐버네티스가 완전한 사각지대라고 생각하지는 않습니다만 아직 보안 전문가들에게는 생소한 영역인 건 맞아 보입니다.”