해결된 줄 알았더니...알파인 리눅스 도커에서 3년된 취약점 재발견

루트 권한 가진 사용자 계정, 비밀번호가 없는 채로 활성화 되어 있어
과거에 한 번 픽스된 적 있으나 회귀 테스트 통해 문제가 복구돼

[보안뉴스 문가용 기자] 지난 3년 동안 알파인 리눅스 도커(Alpine Linux Docker) 이미지가 루트 사용자 혹은 슈퍼유저 계정의 비밀번호를 NULL인 상태로 유통됐다고, 시스코의 탈로스(Talos) 보안 연구 팀이 공개했다. 즉, 누구나 슈퍼계정으로 접근할 수 있는 통로가 열린 채로 사용되고 있었던 것이다.

[이미지 = iclickart]

이처럼 크리덴셜이 하드코드 된 채로 유통되기 시작한 건 ‘공식 알파인 리눅스 도커(Official Alpine Linux Docker)’ 3.3 버전부터라고 하며, 이 버전은 2015년 12월부터 출시됐다고 한다. 3년 만에 발견된 이 취약점은 CVSS 점수를 기준으로 9.8점(10점 만점)을 받았을 정도로 치명적이며, 3.3~3.9 버전과 알파인 도커 에지(Alpine Docker Edge)가 영향권 아래 있다.

탈로스 팀에 의하면 “몇몇 알파인 도커 이미지의 /etc/shadow 파일에, 원래는 암호화 된 비밀번호가 있어야 할 자리에 빈 공간이 저장되어 있는 게 문제의 핵심”이라고 한다.

“결국 아무런 비밀번호 없이도 최상위 사용자처럼 로그인할 수 있다는 뜻이 되니까요. 리눅스 팸(Linux PAM)을 활용하는 알파인 리눅스 도커 3.3~3.8 버전이나, 그 외 비슷한 방법을 인증 데이터베이스로 사용하는 경우 누구라도 아무런 비밀번호 없이, 혹은 NULL 값을 통해 루트 사용자가 될 수 있습니다.”

이 취약점이 제일 먼저 발견된 건 2015년의 일이다. 그리고 이에 대한 패치도 나왔다. 하지만 패치 발표 후 일주일이 지나고, 회귀 테스트를 위한 커밋(commit)이 적용되기 시작했다.

문제는 이 커밋이 ‘디폴트로서 루트 권한을 비활성화 한다’는 패치 내용을 삭제한 것이다. 즉 패치가 된 줄 알았지만, 이후 진행된 회귀 테스트 때문에 다시 패치 이전으로 돌아간 것이라고 탈로스는 설명한다.

“그래서 2015년 12월 이후부터 개발된 모든 빌드들에 이 오류가 전혀 언급되지 않고 있습니다. 당연히 패치 노트에도 나타나지 않고 있고요.” 탈로스 팀은 이 문제를 지난 2월에 알파인 리눅스 도커 개발팀에 알렸고, 며칠 후 이 취약점이 과거에도 한 번 수정된 바 있다는 걸 알게 되었다고 한다.

탈로스의 보안 연구원들은 “이번에 발견된 알파인 리눅스 이미지를 기반으로 하고 있는 도커 이미지들에서 루트 계정은 확실하게 비활성화 되어야 하는 게 맞다”고 권고한다.

“이 취약점이 무조건 익스플로잇이 가능하다거나 불가능하다고 말하기는 힘듭니다. 환경과 밀접한 연관이 있습니다. 익스플로잇을 성공시키려면 리눅스 팸이나 그와 유사한 방법으로 알파이 리눅스 도커 이미지가 노출되어 있어야만 하니까요. 리눅스 팸이 자주 사용되는 것이긴 하지만 광범위하게 퍼져있는 건 아닙니다.”

3줄 요약
1. 알파인 리눅스 도커 이미지, 3년 동안 ‘비밀번호 없는 루트 계정’ 취약점 가진 채 유통됨.
2. 3년 전에 한 차례 해결된 적이 있지만, 당시 회귀 테스트를 진행하며 문제가 복구됨.
3. 알파인 도커 이미지 3.3~3.9 버전 사용자라면 루트 계정 비활성화 해야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)