사용자가 늘어나면 뭐다? 리눅스와 컨테이너에 빠진 해커들

리눅스와 컨테이너의 인기가 심상치 않다. 수많은 조직들이 리눅스와 컨테이너를 활용해 사업을 진행한다. 그러다 보니 사이버 범죄자들이 꼬이기 시작했다. 아직 리눅스와 컨테이너의 ‘보안’까지 신경 쓸 여력이 없는 상황이 타이밍 좋게 공략당했다.

[보안뉴스 문가용 기자] 리눅스는 시스템 관리자들 사이에서나 해커들 사이에서나 꽤나 선호 받는 OS다. 최근 공격자들은 웹셸이나 암호화폐 채굴 코드 등과 같은 멀웨어를 심기 위해 리눅스 시스템을 적극적으로 해킹하기 시작했다. 이러한 공격자들이 자주 익스플로잇 하는 취약점들의 수만 200개가 넘기 때문에 공격 방식도 다양하다. 이러한 현황을 보안 업체 트렌드 마이크로(Trend Micro)가 조사해 정리했다.

[이미지 = utoimage]

최근 클라우드, 컨테이너, IaC(Infrastructure as Code), 리눅스의 도입 비율이 전 세계적으로 빠르게 증가하고 있다. 웹 기술 연구 기업인 W3Techs가 발표한 바에 따르면 모든 웹사이트들의 77%가 유닉스(Unix)를 운영하고 있으며, 대다수가 리눅스를 운영하고 있다고 한다. 트렌드 마이크로의 연구 보고서에 의하면 컨테이너와 가상 서버를 클라우드 인프라에 구축한 고객사 중 61%가 리눅스를, 39%가 윈도를 채택하고 있다고 한다. 리눅스 사용 조직의 3/4가 레드햇(Red Hat), AWS 리눅스, 우분투(Ubuntu), 센트OS(CentOS) 중 하나를 사용하고 있기도 했다. 리눅스의 인기가 이렇게 높은데 공격자들이 그대로 보고 있을 리가 없다.

실제로 그렇기 때문에 침투 탐지 시스템을 통해 탐지되는 애플리케이션 보안 사건의 95%가 레드햇, AWS 리눅스, 우분투, 센트OS에서 발생한다고 트렌드 마이크로는 설명한다. 이를 좀 더 상세히 나눴을 때 현황은 다음과 같다.
1) 아마존 리눅스 43%
2) 레드팻 엔터프라이즈 리눅스 29%
3) 우분투 15%
4) 센트OS 8%

“인터넷에 노출된 애플리케이션들과 워크로드의 경우 대부분 ‘웹 애플리케이션 공격’이라는 유형의 해킹 공격을 받습니다. 웹 애플리케이션 공격을 제대로 수행해 성공시켰을 경우 공격자들은 대부분 임의 스크립트를 실행시키거나, 기밀을 침해하거나, 각종 데이터를 조작 및 파괴, 유출시킬 수 있게 됩니다.” 트렌드 마이크로의 설명이다.

트렌드 마이크로는 전 세계에 설치된 자사 제품은 물론 허니팟, 센서 등 각종 장비에서 수집된 데이터를 수집해 분석을 실시해 위와 같은 결과를 얻어낼 수 있었다고 한다. 총 1300만 이벤트 로그에 해당하는 분량이 멀웨어가 연루되어 있었는데, 이 멀웨어들은 주로 악성 코드가 포함된 리눅스 컨테이너들이었다. 공격자가 피해자의 시스템에 침투해 의도적으로 다운로드 받았거나 피해자가 실수로 다운로드 받는 방식으로 전파되고 있었다. 악의적 성능이라 함은, 주로 암호화폐 채굴, 웹셸, 랜섬웨어로 분류됐다.

이번 트렌드 마이크로의 연구 결과에서 주목해야 할 부분은 컨테이너가 특히 위험하다는 것이다. 유명하고 인기가 높은 컨테이너들에서 특히 많은 취약점이 발견되고 있다고 하는데, 예를 들어 공식 파이선 이미지의 경우 무려 482개의 취약점을 보유하고 있고(32개가 치명적 위험도), 공식 워드프레스 이미지의 경우 402개의 취약점을 가지고 있다(26개가 치명적 위험도)고 한다. 이런 상황에서 “컨테이너 인프라에 대한 보안 대책이 점점 더 시급한 문제가 될 수밖에 없다”고 트렌드 마이크로의 부회장 아론 안사리(Aaron Ansari)는 설명한다.

“보통 취약점이 나오면 패치해야 하죠? 그러면 컨테이너 패치는 어떻게 할 건가요? 컨테이너를 패치한다는 게 확실한 전략이 미리 갖춰져 있지 않으면 그리 간단한 일은 아닙니다. 따라서 컨테이너 인프라를 패치할 방법을 미리 갖춰놓고 있어야 합니다. 혹은 패치 외의 위험 완화 방법이라도 가지고 있는 편이 안전합니다. 컨테이너 인프라는 이미 중대한 부분을 차지하고 있기 때문이죠.”

그 외에도 트렌드 마이크로는 5천만 건이 넘는 ‘익스플로잇 시도’ 이벤트를 분석하기도 했다. 그 결과는 다음과 같았다.
1) 아파치 스트러츠 웹 애플리케이션 프레임워크를 겨냥한 공격 40%
2) 네티 클라이언트 서버 프레임워크를 겨냥한 공격 36%
3) 가장 흔히 익스플로잇 되는 취약점들은 최소 3년 전에 발견된 것들.
안사리는 3)번의 경우에 대해 “컨테이너 인프라를 사용자 기업들이 얼마나 패치하지 않는지 드러낸다”고 설명을 덧붙였다.

“사실 대부분의 조직들에서 보안 인력 부족 문제가 나타나고 있습니다. 그렇기 때문에 컨테이너 인프라까지 점검할 여력이 없는 게 사실입니다. 공격자들이 그 부분을 명확히 인지하고 있어요. 컨테이너의 중요도가 점점 올라간다, 그러나 보안까지 신경 쓰지는 못한다는 걸 말이죠.” 안사리의 설명이다.

그렇다면 당장 인력을 들일 수 없는 조직 입장에서 컨테이너에 대한 위협이 빠르게 증가하고 있는 지금 무엇을 어떻게 해야 하는 걸까? 안사리는 “컨테이너 이미지 점검, 컨테이너 인프라에 대한 아이덴티티와 접근 현황 모니터링, 컨테이너 이미지 출처의 신뢰도 점검을 가장 중점적으로 살피라”고 권장한다. “결국 컨테이너 이미지가 안전하면 됩니다. 이를 변경 및 조작하게 해 주는 여러 경로를 차단하는 것부터 보안을 시작하는 게 좋습니다.”

3줄 요약
1. 클라우드, 컨테이너, 리눅스의 인기가 갈수록 높아지고 있음.
2. 그래서 공격자들도 리눅스 OS들과 컨테이너를 겨냥한 공격을 점점 더 많이 실시.
3. 특히 이제 주요 구성 요소가 된 되어버린 컨테이너 인프라, 갈수록 보안 골칫거리가 되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)