Home > 전체기사
잘못 설정된 레지스트리 통해 15887개 애플리케이션 소스코드 노출
  |  입력 : 2020-02-11 17:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
본질 상 클라우드 서비스인 도커 레지스트리, 보안 설정에 만전 기해야
총 941개 레지스트리가 잘못 설정돼...그 중 117개는 비밀번호 입력도 필요 없어


[보안뉴스 문가용 기자] 설정이 잘못된 도커 컨테이너 레지스트리를 통해 15887개 애플리케이션들의 소스코드가 노출되는 사고가 발생했다. 이를 발견한 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 자사 블로그를 통해 이 사실을 공개하며 “해당 레지스트리들은 네트워크 접근 제어를 제대로 적용하고 있지 않았다”고 설명했다.

[이미지 = iclickart]


“도커 레지스트리 서버를 설정하는 건 꽤나 간단한 일입니다만, 통신 방법과 접근 제어 옵션을 안전하게 하려면 신경을 써야 합니다. 이번에 발견된 도커 컨테이너 레지스트리들의 경우 내부 관리자가 이 부분을 제대로 몰랐던 것으로 보이고, 그 때문에 소스코드가 외부로 노출되는 일이 발생한 것입니다.” 현재 이 레지스트리들은 쇼단을 통해 검색이 가능한 상태다.

도커 레지스트리는 일종의 클라우드 서버라고 볼 수 있다. 도커 이미지들을 보관하고 관리하는 데에 사용된다. 도커 이미지는 컨테이너로, 여기에는 애플리케이션을 실행시키는 데 필요한 모든 것들이 담겨져 있다. 코드, 라이브러리, OS 파일들도 여기에 포함된다. 이 컨테이너들은 리포지터리들로 구성되어 있는데, 개발 단계에 따라 앱의 다양한 버전들이 저장되기도 한다. 따라서 레지스트리를 공격당하면 애플리케이션의 모든 정보가 공격당하는 것이라고도 볼 수 있다.

팔로알토 역시 “소스코드와 과거에서부터 현재에까지 이르는 버전 정보들이 전부 포함”되어 있는 것이 레지스트리라고 설명하며, “앱의 종류에 따라 사업 행위 자체가 중단되는 결과까지 초래될 수 있다”고 강조했다. 이런 위험에 처한 도커 레지스트리가 현재까지 941개이며, 이 중 117개는 인증 과정 없이 곧바로 접속이 가능한 상태라고 한다. 117개 중 80개는 이미지의 다운로드가 가능한 상태이며, 92개는 업로드가 가능한 상태고, 7개는 삭제가 가능하다고 한다.

팔로알토는 “업로드가 가능한 레지스트리에 공격자가 접근하는 데 성공할 경우, 진짜 이미지가 악성 이미지로 교체될 수도 있고, 악성 멀웨어 호스트로서도 활용이 가능하게 된다”고 설명했다. 지난 10월, 암호화폐 채굴을 위해 개발된 웜 그라보이드(Graboid)가 2천 개의 불안전한 도커 엔진 호스트들을 감염시킴으로써 후자의 공격 시나리오가 실현 가능하다는 사실이 이미 알려지기도 했다. 참고로 그라보이드는 모네로 채굴에 활용되었다.

삭제가 가능한 레지스트리의 경우, 해커들은 데이터를 어디론가 옮기고 원본들을 삭제한 후 돈을 달라고 협박할 수도 있다. “소스코드와 과거 버전 정보들까지 갖춘 공격자들은 맞춤형 공격을 기획할 수도 있습니다.”

클라우드 설정 오류 때문에 발생하는 정보 유출 사고는 지난 몇 년 동안 꾸준히 등장하는 소식이다. 올해도 일찌감치 이런 사건이 터진 걸 보면, 클라우드 사용자들 사이에서 인식 개선이 의미 있게 이뤄진 것 같지는 않다. 작년 10월 포네몬 인스티튜트(Ponemon Institute)는 기업의 48%가 데이터를 클라우드로 옮겼지만, 보안 위주로 클라우드를 운영하는 경우는 32%뿐이라고 발표하기도 했었다.

도커 생태계 자체에서도 대형 보안 사고가 그리 낯선 것만은 아니다. 지난 5월 알파인 리눅스 도커(Alpine Linux Docker) 이미지들이 3년 동안 비밀번호가 없는 루트 계정을 탑재한 채 배포되고 있다는 사실이 드러났었다. 즉 권한이 높은 백도어가 심긴 것들이 세상을 돌아다니고 있었다는 것이다. 그 직전인 4월에는 도커 허브(Docker Hub)가 해킹 돼 19만 개의 계정이 유출되기도 했었다.

3줄 요약
1. 도커 사용하는 기업들, 레지스트리 설정 오류로 중요 앱 소스코드 노출.
2. 총 15887개 앱 버전들이 상세하게 노출된 상태.
3. 레지스트리는 일종의 클라우드 서버로, 접근 방식과 통신에 대한 철저한 설정 필요함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)