클라우드 환경 전체로 들어갈 수 있는 대문 열어준 것과 같은 취약점
[보안뉴스 문가용 기자] 처음으로 위험한 취약점이 큐버네티스(Kubernetes)에서 발견됐다. 이 취약점의 위험도는 10점 만점에 9.8점을 기록하고 있다. 이 취약점은 CVE-2018-1002105로 권한 상승을 유발하며, 승인을 받은 공격자와 공격을 받지 못한 공격자 모두 큐버네티스에 접근할 수 있게 해준다고 한다.
[이미지 = iclickart]
승인을 받은 사용자의 경우, 특히 첨부(attach), 실행(exec), 포트포워드(portforward) 권한이 있을 때, 이 권한들을 관리자급 권한으로 상승시켜 사실상 그 어떤 프로세스라도 실행시키는 게 가능하게 된다.
승인을 받지 않은 사람의 경우, 세 가지 특수한 모듈들에서 사용되는 API를 통해 쿼리를 보낼 수 있게 된다. 이 쿼리는 어떤 값을 되돌려주는데, 이를 통해 권한을 관리자급으로 올려 콘테이너 클러스터에 구현된 모든 API에 접근할 수 있게 된다.
“조직들의 아키텍처에 따라 조금씩 다르긴 한데, 이 취약점은 클라우드 전체 환경으로 들어가는 대문을 열어두는 것과 마찬가지 효과를 냅니다.” 보안 업체 콜파이어(Coalfire)의 수석 사이버 엔지니어인 닉 모리스(Nick Morris)의 설명이다. “게다가 이 취약점을 통한 공격은 탐지가 어렵습니다. 그게 문제의 심각성을 가중시킵니다.”
이 취약점의 범위가 크다는 것도 문제를 더 심각하게 만든다. “큐버네티스 1.0 버전부터 이 취약점이 발견됩니다. 게다가 큐버네티스는 굉장히 복잡한 소프트웨어입니다. 코드베이스가 방대하죠. 그렇기 때문에 여기서부터 다양한 보안 문제가 파생할 수 있습니다. 지금으로서는 전혀 예측이 안 되죠.” 보안 업체 스택락스(StackRox)의 부회장인 웨이 리엔 당(Wei Lien Dang)의 설명이다.
그러나 이번에 발견된 큐버네티스 취약점의 가장 큰 문제는, 큐버네티스 자체가 가진 강점들이 보안에 취약한 것이기 때문이다. “큐버네티스의 인기가 올라가고 있는 이유는 속도, 오케스트레이션, 자동화, 확장성입니다. 이 속성은 보안의 관점에서는 큰 약점이 됩니다. 빠르고 유연하게 공격 표적에 닿을 수 있게 해주기 때문입니다.” 보안 업체 수모 로직(Sumo Logic)의 CSO인 조지 거초우(George Gerchow)의 설명이다.
다행인 건 이 문제에 대한 픽스가 두 가지 있다는 것이다. 하나는 버전 업이다. 큐버네티스 인스턴스를 1.10.11, 1.11.5, 1.12.3, 1.13.0-rc1으로 업데이트 함으로써 문제를 해결할 수 있다. 대형 클라우드 업체들 역시 자신들의 인스턴스들을 업데이트 했다고 발표했다. 큐버네티스 공급 업체들 역시 이렇게 하고 있으니 사용자들 각기 이 부분에 대해서 알아봐야 한다.
하지만 이번에 발견된 취약점 덕분에 이득을 볼 수 있는 부분도 있다. 이번 큐버네티스를 핑계 삼아 패치와 업데이트 관련 정책을 다시 한 번 점검할 수 있기 때문이다. 리엔 당은 “의외로 많은 기업들이 자꾸만 취약점 업데이트 기회를 놓친다”며 “큐버네티스의 잠재력에 놀란 기업들일수록 이번 취약점 사태를 기회로 받아들여야 할 것”이라고 제안했다.
하지만 업데이트할 여건이 갖춰지지 않은 곳도 있을 것이다. 그런 사용자나 기업들에 맞는 두 번째 위험 완화 방법은 이 링크(https://github.com/kubernetes/kubernetes/issues/71411)에 소개된 절차를 밟는 것이다. 하지만 이는 충분히 검증되지 않은 방법으로 기존 운영의 일부분이 끊기거나 마비될 수 있다. 거초우는 “이 기회에 많은 기업들이 클라우드와 큐버네티스 아키텍처에 대한 가시성을 보다 넓게 확보해야 할 것”이라고 말했다.
3줄 요약
1. 큐버네티스에서 처음으로 심각한 취약점이 발견됨. 10점 만점에 9.8점.
2. “클라우드 전체 환경으로 들어가는 대문을 열어둔 것과 같은 취약점”
3. 패치와 추가 완화법 등장. 이 기회에 클라우드 가시성 및 패치 기회 확보할 수 있을 것.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>