도커 허브의 19만 개 계정, 누군가 불법적으로 접근했다

사실이 발표된 건 4월 25일...공격 일자나 발견 일자는 미공개
개발자의 작업 환경 노린 일종의 공급망 공격...미리 방어 준비해야

[보안뉴스 문가용 기자] 최근 도커 허브(Docker Hub) 데이터베이스에서 불법적인 침투의 흔적이 발견됐다. 이에 19만 개의 도커(Docker) 사용자 계정들이 영향을 받은 것으로 보이며, 해당 계정의 사용자들은 비밀번호를 변경하고 컨테이너 이미지가 조작되지 않았는지 확인해야 한다.

[이미지 = iclickart]

도커 측이 침해 사실을 발견한 건 4월 25일의 일이다. 도커는 곧바로 해당되는 사용자들에게 사건에 대해 알리고 비밀번호 변경을 위한 링크를 전송했다고 한다. 또한 도커 허브를 깃허브(GitHub)와 비트버킷(Bitbucket) 등의 외부 리포지토리와 연결시켜 자동으로 컨테이너 이미지를 자동으로 구축(autobuild)하는 경우, 해당 연결고리를 잠시 끊어내기도 했다. 이런 경우에 해당하는 사용자들은 다시 한 번 연결을 설정해야 한다.

도커는 “공격자들이 아주 잠시 동안 데이터베이스에 불법적으로 접근했다”고 설명하며, “해당 데이터베이스에는 사용자 이름, 해시된 비밀번호 등의 민감한 정보가 저장되어 있었다”고 밝혔다. 일부 도커 허브 계정의 경우는 깃허브와 비트버킷에 접근할 때 사용하는 토큰도 저장하고 있었다. 그러나 도커 측은 어느 시점에 침해가 발생했고, 언제 발견되었는지 정확히 밝히지 않고 있다.

도커는 “총 19만 개의 계정들이 이 사건의 영향을 받았다”며 “도커 허브 전체 사용자의 5%도 되지 않는 규모”라고 주장했다. “도커 허브의 공식 이미지(Official Image)들 중 침해에 영향을 받은 건 하나도 없습니다. 도커는 공식 이미지를 보호하기 위해 GNU 프라이버시 가드(GNU Privacy Guard) 시그니처와 노터리(Notary) 서명 등의 추가적인 보호 장치를 도입하고 있습니다.”

도커 허브는 컨테이너 이미지 라이브러리로 개발자들과 소프트웨어 제조사, 오픈소스 프로젝트와 기업 내 소프트웨어 개발 팀이 컨테이너 이미지를 저장하고 공유하는 데 사용된다. 대기업들과 중소기업들 등 다양한 조직들이 여기에서 공유된 이미지를 사용해 자신들만의 컨테이너를 구축한다.

그러므로 이번 공격은 ‘개발 파이프라인’에 대한 공격이다. 이렇게 개발자들의 자원을 공격하게 되면 결과로 나오는 애플리케이션 보안에 큰 영향이 있을 수 있다. 컨테이너 보안 전문 업체인 스택록스(StackRox)의 부회장인 웨이 리엔 당(Wei Lien Dang)은 “이미지를 공격자가 멋대로 조작하면 탐지가 힘들다”며 “개발자가 예상하는 기능성을 그대로 발휘하면서 몰래 악의적인 일이 벌어질 수 있도록 조작하는 게 가능하다”고 설명한다.

도커가 사건의 시간별 기록을 공개하고 있지 않기 때문에 공격자가 침해에 성공한 계정들에 얼마나 오랜 시간 머물러 있었는지 알 수가 없다. 리엔 당은 “안전을 위해서 사용자들은 자진들의 계정에 보관되어 있던 이미지의 무결성을 반드시 확인해야 할 것”이라고 당부했다.

보안 업체 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal)은 “19만 개 계정 중 하나를 보유하고 있는 조직이라면 로그를 꼼꼼하게 점검해서 누가 왜 어떤 승인을 받고 접근했는지 파악해야 한다”고 말한다. 특히 “쓰기 권한을 가진 접근에 대해서 잘 살피라”고 경고한다. “도커 허브와 깃허브를 연동시키고 있었다면 이 ‘쓰기 권한’의 로그 기록에 대해 더 민감하게 조사해야 합니다.”

그 외에도 와이소팔은 생산 이미지를 비밀 레지스트리로 임포트 할 것을 권장한다. “그래야 기업들이 이러한 사건들로부터 좀 더 강력한 제어권한을 가질 수 있게 되며, 공공 레지스트리에서 발생하는 사건으로부터 자유로울 수 있습니다.”

보안 업체 트립와이어(Tripwire)의 팀 얼린(Tim Erlin)은 “아직까지 이미지들이 조작되었다는 사례가 나오지 않고 있어서 다행”이라며, “도커 허브나 깃허브 등을 사용하는 기업들이 이러한 서비스를 통한 공급망 공격에 대해서도 대비해야 한다는 교훈을 얻어갈 수 있다면 좋을 것”이라고 지적한다.

“이미 이런 공격 시나리오를 예상하고 있던 조직이라면, 도커 허브가 침해됐다는 사실에 그리 놀라지 않을 겁니다. 해킹 사건에 대응한다는 건, 사실 미리 예상하고 대비책을 강구해놓는다는 뜻이지, 사건이 벌어지고 나서부터 뭔가를 생각해낸다는 게 아닙니다. 그래서 위협을 모델링(threat modeling)하는 게 중요한 작업이 되는 것이죠.” 얼린의 설명이다.

3줄 요약
1. 도커 허브에서 19만개 계정에 대한 불법적 접근 발생함.
2. 계정 주인들은 비밀번호를 변경하고 컨테이너 이미지를 확인해야 함.
3. 일종의 공급망 공격이라고 볼 수 있는데, 이제는 이런 개발자 환경에 대한 공격 시나리오도 예상할 수 있어야 함.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)