🔭Docker, Kubernetes 컨테이너 엔진에서 보안 취약점 발견!

안녕하세요 구독자님, 최신 DevOps 소식을 정리해서 공유해드리는 DevOps 여행을 위한 소식지입니다.

이번 소식지에선 2024년 1월 말, 컨테이너 이미지를 생성하고 실행하는 역할을 하는 runc에서 발견된 보안 취약점 CVE-2024-21626에 대해 알아보겠습니다.

runc는 Docker와 Kubernetes에서 컨테이너 이미지 빌드 및 실행에 사용되는 컨테이너 엔진으로, 이미 널리 사용되고 있는 툴이므로 해당 보안 취약점의 영향력은 클 수밖에 없는데요. 이번 보안 취약점은 어떤 것이며, 어떻게 대처해야 하는지 같이 살펴보겠습니다.

‼내가 사용하는 컨테이너 툴에 보안 취약점이?

널리 사용되는 컨테이너 엔진 runc에서 보안 취약점이 발견되어 관련 패치가 릴리즈되었습니다.

최근 보고된 바에 따르면, runc를 이용하여 컨테이너 이미지를 생성하거나 실행하는 특정 시점에 호스트 내 파일에 접근 가능한 통로가 남게되는 보안 취약점이 발견되었다고 하는데요. 현재 runc와 Docker, containerd 등의 컨테이너 툴에선 이미 해당 보안 취약점에 대한 패치를 릴리즈하였습니다.

위 취약점은 CVE-2024-21626라는 일련번호로 등록 및 공개되었는데요. 컨테이너 환경에서 호스트(Host)로의 비허가 접근 위험이 있다는 것이 이번 취약점의 요지입니다. (관련 보안 보고서 링크)

컨테이너 이미지를 사용한다는 것은, 서버 컴퓨터의 환경(호스트) 내에서 별도의 격리 및 독립된 환경을 구성하여 프로그램을 실행하는 것인데요. 우리가 컨테이너 기술을 사용하는 이유는 아래와 같을 것입니다.

컨테이너 이미지 안에서 동작하는 프로그램은 어떤 호스트 환경에서 구동하든지 상관 없이 동작을 예상할 수 있다.
서버의 리소스 조건에 따라 한 호스트 환경에 여러 개의 컨테이너 이미지를 실행할 수 있으므로 서버를 효율적으로 사용할 수 있다.

하지만 위 취약점을 악용한 공격자가 여러 컨테이너 이미지가 구동 중인 어떤 업체의 호스트 환경에 접근하게 된다면, 다른 컨테이너 인스턴스로 인해 호스트에 저장되어있던 고객의 민감한 정보, 또는 그 업체가 호스트에 저장해둔 계정 정보를 획득할 수 있게 되는 것입니다.

게다가 공격자가 호스트 시스템에 접근 후 다른 추가 공격을 하게 될 수도 있죠.

그렇다면 이번 취약점에 우리는 어떻게 대처할 수 있을까요?

가장 확실한 대처 방법은 현재 사용 중인 컨테이너 툴 버전을 해당 취약점에 대해 보완된 버전으로 최신 업데이트를 하는 것입니다. 현재 runc를 포함해 대표적인 컨테이너 툴의 해당 취약점 보완 업데이트 현황은 아래와 같습니다. (관련 링크)

runc: 1.1.12
containerd: 1.6.28
Docker Desktop: 4.27.1

만약 사용 중인 컨테이너 툴을 바로 업데이트하기 어려운 상황이라면... 업데이트하기 전까지는 신뢰할 수 있는 컨테이너 이미지만 사용하고, 컨테이너 이미지 빌드 시에는 신뢰할 수 있는 Dockerfile 또는 신뢰할 수 있는 Base Image만 사용해야 할 것입니다.

🧾보안취약점, CVE란?

CVE는 보고된 보안 취약점에 일련번호를 붙여 대중에 공개하는 체계입니다.

위에서 같이 살펴봤던 CVE-2024-21626라는 이름은 보안 취약점을 특정하는 ID인데요. CVE란 Common Vulnerabilities and Exposures(공통 취약점 및 익스포저)의 줄임말이며, 정보 보안 취약점 표준 코드를 의미합니다.

이미 알려진 컴퓨터 보안 취약점과 시스템 결함에 일련번호를 부여 및 정리하여 대중에 공개한 것이 CVE인 것이죠.

CVE는 고유한 일련 ID 번호와 요약 설명, 공개된 관련 참조 링크로 구성되는데요. 이렇게 정의된 CVE는 CVE 웹사이트(링크)에서도 확인할 수 있습니다.

그렇다면 CVE는 왜 필요할까요?

먼저, 공개된 CVE로 인해 등록된 보안 취약점을 각 조직 및 기업이 인지하고 조사 가능하기 때문에 조직의 보안성을 강화할 수 있다는 긍정적인 효과가 있습니다.

또한 보안 문제에 대해 논의할 때에도 CVE ID를 활용하면 보다 효율적인 소통도 가능하죠.

CVE ID는 현재 기업과 보안 조직 등에서 널리 사용되기 때문에 이를 활용하면 관련된 정보를 보다 빠르고 쉽게 찾을 수 있다는 장점도 있습니다.

CVE 등록은 소프트웨어 기업이 자체적으로 CVE 발급기관에 연락해서 CVE 값을 할당받는 방식과, MITRE사에 직접 보안 취약점을 요청해서 해당 취약점을 CVE 후보로 등록하는 방식이 존재합니다.

🔭마치며...

이번 소식지에선 컨테이너 기술과 관련된 최신 보안 취약점에 대해 공유드렸는데요. 이미 널리 사용되는 컨테이너 엔진에서 발견된 취약점인 만큼, 현재 위에서 언급한 것 외에도 runc 기반의 다른 컨테이너 툴을 직접 활용하여 시스템을 운영하시는 분들이라면 한번 체크해보는 것이 좋을 것 같습니다.

혹시 이번 내용 관련해서 더 궁금한 점이 있으시다면 아래 메일리 댓글 남겨주세요.😀

그럼, 다음 소식지에서 보다 알차고 흥미로운 내용으로 찾아뵙겠습니다.

감사합니다. 😺