늘어나는 Docker 악성코드, 개발자들이 보안을 신경써야 할 때 침해사고분석팀 2020.12.01 |
|
클라우드 기반 기술이 인기를 끌자 사이버 범죄 조직 또한 도커와 쿠버네티스 시스템을 공략하기 시작했다. 공격의 대부분은 공격자들이 온라인 관리자 페이지를 스캔하고 여기에 암호화폐 채굴 악성코드를 배포하는 등의 매우 단순한 패턴을 가지고 있었다.
하지만 지난 3년 동안 이러한 공격은 진화하여 도커(및 쿠버네티스)를 겨냥한 새로운 악성코드 변종과 공격자들이 현재 정기적으로 발견되고 있다.
그러나 도커 서버에 대한 악성코드 공격이 이제는 일상적으로 되었음에도 불구하고, 많은 웹 개발자와 인프라 엔지니어는 아직 그 위험성을 깨닳지 못하고 여전히 도커 서버를 잘못 구성하여 공격에 노출되어 있다.
이러한 오류중 가장 일반적인 것은 도커의 원격 관리 API를 온라인에 인증 없이 노출시키는 것이다.
지난 수년간 Doki, Ngrok, Kinsing (H2miner), XORDDOS, AESDDOS, Team TNT 등의 악성코드는 도커 관리 API를 온라인에 노출시킨 도커 서버를 스캔한 뒤 이를 악용해 백도어를 심거나 암호화폐 채굴기를 설치했다.
최근 중국 보안업체 Qihoo 360는 최근 Blackrota라고 이름 지어진 도커 대상 악성코드를 발견하였으며, 지금까지는 리눅스 버전만 발견되었고 이 악성코드가 어떻게 사용되고 있는지는 알려지지 않았다.
이처럼 도커를 이용하여 시스템을 구성하는 기업, 웹 개발자, 엔지니어는 도커 공식 문서를 검토하여 인증서 기반 인증 시스템과 같이 적절한 인증 메커니즘을 도입 하였는지 검토하는 것이 좋다. [도커 공식 문서: https://docs.docker.com/engine/security/https/] [도커 보안 가이드 포스팅: https://medium.com/trabe/using-docker-engine-api-securely-584e0882158e]
출처 |