.jpg)
레디스·마리아DB·리눅스 커널까지 뚫려... 팀 신트 코드 초대 챔피언 등극
[보안뉴스 김형근 기자] 런던에서 열린 클라우드 시스템 해킹 대회 ‘제로데이 클라우드’(Zeroday Cloud)에서 11개의 제로데이 취약점이 발굴돼 총 32만 달러의 상금이 지급됐다.
이번 대회는 이스라엘 클라우드 보안 기업 위즈리서치가 주최하고, AWS와 마이크로소프트, 구글 클라우드(GCP)가 공동 후원했다. 클라우드 시스템만 대상으로 한 첫 해킹 대회다.
[자료: 위즈]
이번 행사는 클라우드 환경이 복잡해짐에 따라 단일 소프트웨어의 보안보다 시스템 전체의 연결 고리를 점검하는 것이 얼마나 중요한지 보여줬다는 평가다.
참가자들은 총 13회의 세션(공격) 가운데 85%의 높은 성공률을 기록하며, 지금까지 알려지지 않았던 11개의 제로데이 취약점을 공개했다.
대회 첫날엔 레디스(Redis), 포스트그레SQL(PostgreSQL), 그라파나(Grafana), 리눅스 커널(Linux Kernel) 등에서 취약점을 찾아내 20만 달러가 지급됐다.
다음날엔 클라우드 데이터 저장의 핵심인 마리아DB(MariaDB) 등을 포함한 데이터베이스 관리 시스템(DBMS)을 대상으로 한 공격에 성공하며 12만 달러를 추가했다.
특히 리눅스 커널에서 발견된 ‘컨테이너 탈출’(Container Escape) 결함은 격리 환경을 우회, 클라우드 보안의 근간인 ‘사용자 간 격리’를 무너뜨릴 수 있어 매우 위협적이다.
이번 대회에서 팀 신트 코드는 레디스와 마리아DB 등을 완벽하게 공략하며 총 9만 달러를 획득, 초대 챔피언 자리에 올랐다.
보안 전문 기업인 젤릭과 데브코어 팀도 고도의 기술력을 선보이며 각각 4만 달러의 상금을 챙겼다.
인공지능(AI)도 주요 주제 중 하나였다. vLLM과 Ollama 모델을 대상으로 한 해킹 시도가 진행됐다. 성공했을 경우 비공개 AI 모델, 데이터셋, 프롬프트가 노출될 수 있었다. 그러나 두 시도 모두 제한된 시간 안에 과제에 성공하지 못해 실패로 끝났다.
이번 대회에 걸린 총상금은 450만달러에 달했지만, 실제 지급된 금액은 그중 일부에 불과해 아직 정복되지 않은 영역이 많음을 보였다.
쿠버네티스(Kubernetes), 도커(Docker), 엔진엑스(Nginx) 등 클라우드의 핵심 구성 요소들은 이번 대회에서 해커들의 공격을 무사히 방어해냈다.
아파치 에어플로우(Apache Airflow)나 젠킨스(Jenkins) 같은 개발 도구들도 이번 공격 대상에 포함됐으나 취약점은 발견되지 않았다.
이번 대회의 목적은 선의의 해커들이 먼저 취약점을 찾아내고, 이를 제조사에 알려 패치를 배포함으로써 실제 범죄자의 공격을 예방하는 데 있다.
클라우드 서비스 제공업체(CSP)들은 이번에 발견된 제로데이 취약점들을 즉시 분석해 인프라 보안 강화에 반영할 계획이다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 런던에서 열린 클라우드 시스템 해킹 대회 ‘제로데이 클라우드’(Zeroday Cloud)에서 11개의 제로데이 취약점이 발굴돼 총 32만 달러의 상금이 지급됐다.
이번 대회는 이스라엘 클라우드 보안 기업 위즈리서치가 주최하고, AWS와 마이크로소프트, 구글 클라우드(GCP)가 공동 후원했다. 클라우드 시스템만 대상으로 한 첫 해킹 대회다.
[자료: 위즈]
이번 행사는 클라우드 환경이 복잡해짐에 따라 단일 소프트웨어의 보안보다 시스템 전체의 연결 고리를 점검하는 것이 얼마나 중요한지 보여줬다는 평가다.
참가자들은 총 13회의 세션(공격) 가운데 85%의 높은 성공률을 기록하며, 지금까지 알려지지 않았던 11개의 제로데이 취약점을 공개했다.
대회 첫날엔 레디스(Redis), 포스트그레SQL(PostgreSQL), 그라파나(Grafana), 리눅스 커널(Linux Kernel) 등에서 취약점을 찾아내 20만 달러가 지급됐다.
다음날엔 클라우드 데이터 저장의 핵심인 마리아DB(MariaDB) 등을 포함한 데이터베이스 관리 시스템(DBMS)을 대상으로 한 공격에 성공하며 12만 달러를 추가했다.
특히 리눅스 커널에서 발견된 ‘컨테이너 탈출’(Container Escape) 결함은 격리 환경을 우회, 클라우드 보안의 근간인 ‘사용자 간 격리’를 무너뜨릴 수 있어 매우 위협적이다.
이번 대회에서 팀 신트 코드는 레디스와 마리아DB 등을 완벽하게 공략하며 총 9만 달러를 획득, 초대 챔피언 자리에 올랐다.
보안 전문 기업인 젤릭과 데브코어 팀도 고도의 기술력을 선보이며 각각 4만 달러의 상금을 챙겼다.
인공지능(AI)도 주요 주제 중 하나였다. vLLM과 Ollama 모델을 대상으로 한 해킹 시도가 진행됐다. 성공했을 경우 비공개 AI 모델, 데이터셋, 프롬프트가 노출될 수 있었다. 그러나 두 시도 모두 제한된 시간 안에 과제에 성공하지 못해 실패로 끝났다.
이번 대회에 걸린 총상금은 450만달러에 달했지만, 실제 지급된 금액은 그중 일부에 불과해 아직 정복되지 않은 영역이 많음을 보였다.
쿠버네티스(Kubernetes), 도커(Docker), 엔진엑스(Nginx) 등 클라우드의 핵심 구성 요소들은 이번 대회에서 해커들의 공격을 무사히 방어해냈다.
아파치 에어플로우(Apache Airflow)나 젠킨스(Jenkins) 같은 개발 도구들도 이번 공격 대상에 포함됐으나 취약점은 발견되지 않았다.
이번 대회의 목적은 선의의 해커들이 먼저 취약점을 찾아내고, 이를 제조사에 알려 패치를 배포함으로써 실제 범죄자의 공격을 예방하는 데 있다.
클라우드 서비스 제공업체(CSP)들은 이번에 발견된 제로데이 취약점들을 즉시 분석해 인프라 보안 강화에 반영할 계획이다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
