(개념) 오픈소스 패키지, 컨테이너 이미지 및 재사용 패키지 저장소의 참조 과정에 구문 실수가 발생하여 의도치 않은 기능이 설치되는 위협으로 코드 저장소 및 지속적 전달 도구(Argo CD 등)의 자격증명 탈취를 통한 악의적 기능 배포에도 이용
(특징) 비교적 저렴한 비용으로 (1) 암호화폐 채굴 (2) 비밀 및 자격증명 탈취 (3) 리소스 고갈 (4) 백도어 설치 (5) 서비스 거부 (6) 탐지 우회 멀웨어 호스팅 등 다양한 공격 시도 가능
(위협)
❶ 오픈소스 패키지 위협,
❷ 컨테이너 레지스트리 위협,
❸ 재사용 패키지 레지스트리 위협으로 분류
❶ (오픈소스 패키지 위협) 언어 기반 소프트웨어 생태계*은 광범위한 타사 코드 저장소를 포함하고 편리한 다운로드기능 이용으로 인해 의도하지 않는 패키지 전체 설치** 가능성이 높아져 패키지(라이브러리)의 종속성에 악성 코드 주입이 가능
* nodejs → npm, Ruby → RubyGems, Python → PyPI 등
** 패키지 관리자 프런트엔드 도구에 설치 명령을 호출하면 종속성을 검색하고 설치하므로 매주 수십억 개의 패키지 다운로드[10]
❷ (컨테이너 레지스트리 위협) 컨테이너* 이용 애플리케이션 수요 증가로 컨테이너 레지스트리**에 대한 타이포스쿼팅 공격을 통해 악성 이미지를 배포
* 컨테이너는 애플리케이션과 해당 종속성(코드, 런타임, 시스템도구 및 라이브러리)을 이미지로 랩핑하여 신속한 소프트웨어 제공 및 손쉬운 이식성 확보
** 레지스토리는 이미지 유지 및 관리를 위한 중앙 집중식 저장소
❸ (재사용 패키지 레지스트리 위협) 컨테이너 사용 규모 확대에 따라 쿠버네티스의 이용 복잡성이 증가하고 공유되는 재사용 가능한 패키지(차트)수가 기하급수적 증가[8]하여 오래되거나 잘 알려진 취약점을 가진 컨테이너 이미지* 배포 시 악용 가능
* 아티팩트 허브의 차트에 포함된 컨테이너 이미지가 Log4Shell 등 광범위하고 심각한 취약점을 포함하는 등 수백 개 취약점의 영향을 받는 것을 발견
(대응방안) 공격 패턴 변화에 맞춰 탐지 규칙을 지속 개선하여 패키지 혼동 탐지 시스템*에 적용
* 오픈소스 TypoGard[6], Microsoft OSSGadget[7] 등 탐지 기술 활용
https://www.fsec.or.kr/bbs/detail?menuNo=242&bbsNo=11551
금융보안원
[금보원2024-3Q] 전자금융과 금융보안 제37호 보안연구부 2024-09-09
www.fsec.or.kr
'03.Security' 카테고리의 다른 글
| 양자 암호 - 포스트 양자 암호화(Post-Quantum Cryptography, PQC) (0) | 2024.09.18 |
|---|---|
| 가상화 - 망분리 - 규제완화 - 다층보안체계(MLS) 로드맵 (1) | 2024.09.15 |
| 인공지능 - 보안 - 적대적 머신러닝(ML): 공격 및 완화에 대한 분류와 용어 가이드라인 (3) | 2024.09.11 |
| 랜섬웨어 (19) | 2024.09.10 |
| 다크넷(웹) (8) | 2024.09.10 |
