Cappuccino sapiens

Docker Hub(https://hub.docker.com/)는 사용자들이 공식적으로 도커 이미지를 공유하는 저장소로, 기존 도커를 내려 받은 후 재가공하여 재공유가 가능한 플랫폼입니다.

2019년 4월 비금융권 사용자 계정을 저장하는 일부 저장소에 허가되지 않은 사용자가 접속하여19만명의 계정을 유출하였습니다. Docker Hub 계정유출 사고는 전체 도커 계정의 5%에 달하지만, 유출된 계정에 토큰과 접속키(Access Key)가 포함되어 있어, 인증우회, 생산 공정상 악성코드 삽입, 상품코드 복제 등의 추가 피해 우려되었습니다.

Docker측은 빠르게 사용자들의 토큰을 폐지하고 패스워드를 리셋 시켰습니다. 이러한 과정에서 사용자들은 접속키를 재생성하고 로그파일을 통해 잠재적인 악성행위를 판별해야하는 큰 불편을 겪어야만 했습니다. Docker는 명확한 침해경위에 대한 설명이 없었으며, 이 공격은 인증정보인 크리덴셜 공격이나 관련 서버의 침투에 의한 것으로 유추하고 있습니다.

이러한 컨테이너 침해에 대비하기 위한 방안은 다음과 같습니다.

컨테이너 가시성 강화

컨테이너는 운영체제 레벨에서 프로그램을 가상화하는 기술로, Linux의 프로세스 분리기능을 통해 동일한 커널에서 여러 컨테이너를 실행하여 오버 헤드를 줄입니다. 따라서, 컨테이너들간의 소통채널인 inter-process 통신채널 뿐만 아니라 컨테이너내에 발생하는 이벤트에 대한 모니터링을 실시합니다. 호스트기반 IDS를 통해 비정상적인 행위나 워크로드의 변경 이벤트를 탐지합니다.

백업, 데이터 암호화, 이미지 스캐닝

신뢰할 수 있는 저장소에 추가적인 백업공간을 확보하고 주기적인 백업을 진행합니다. 데이터의 암호화 및 해쉬를 통해 변경을 감시하고 데이터 유출시에 대비합니다. 이미지 스캐닝 도구를 사용하여 컨테이너에 삽입된 악성코드의 삽입을 탐지합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020