기술 지원
문서
로그인
문의하기
보안 위협을 가하는 1,650개의 악성 도커 허브 이미지 발견
2022년 12월 7일 TuxCare 홍보팀
보안 연구원들은 도커 허브에서 공개적으로 사용 가능한 25만 개의 확인되지 않은 Linux 이미지 중 1,652개에서 악성 동작을 발견한 후 개발자에게 공유 컨테이너 이미지 사용의 위험성을 경고했습니다. 암호화폐 채굴기, 백도어로 사용될 수 있는 임베디드 비밀, DNS 하이재커, 웹사이트 리디렉터 등이 숨겨진 악성 행위 중 일부입니다.
Docker Hub는 클라우드 기반 컨테이너 라이브러리로, 사용자가 Docker 이미지를 자유롭게 검색하고 다운로드할 수 있을 뿐 아니라 자신이 만든 콘텐츠를 공용 라이브러리 또는 개인 리포지토리에 업로드할 수 있습니다. 반면에 컨테이너는 다양한 컴퓨팅 환경에서 배포 및 확장이 간편하며, 데브옵스 팀은 시장 출시 시간을 단축하기 위해 다른 사람들이 공유한 공개 컨테이너 이미지를 자주 사용합니다.
Docker Hub는 가장 인기 있는 무료 컨테이너 레지스트리이며, Docker 이미지는 바로 사용할 수 있는 코드와 애플리케이션이 포함된 컨테이너를 빠르고 쉽게 생성하기 위한 템플릿이라는 점에 유의해야 합니다. 따라서 새 인스턴스를 시작하려는 사람들은 쉽게 배포할 수 있는 애플리케이션을 찾기 위해 Docker Hub를 자주 사용합니다.
Sysdig 보고서에 따르면 크립토마이너가 가장 많은 악성 이미지를 차지했으며, 그다음으로 SSH 키, Amazon Web Services 자격 증명, GitHub 토큰, NPM 토큰과 같은 임베드된 비밀이 포함된 이미지가 그 뒤를 이었습니다. Sysdig 연구원들에 따르면, 공개 이미지에 임베디드 비밀을 삽입하는 것은 우발적이거나 의도적인 것일 수 있다고 합니다.
"공격자는 컨테이너에 SSH 키 또는 API 키를 삽입하여 컨테이너가 배포되면 액세스 권한을 얻을 수 있습니다... 예를 들어, 공개 키를 원격 서버에 업로드하면 해당 개인 키의 소유자가 셸을 열고 SSH를 통해 명령을 실행할 수 있으며, 이는 백도어를 이식하는 것과 유사합니다."라고 Sysdig는 말합니다. 시스딕은 이어서 위협 공격자들이 멀웨어를 정상적으로 보이는 도커 허브 이미지에 숨기고 있다고 말합니다. 발견된 악성 컨테이너의 수는 조사 기간 동안 조사된 25만 개 중 극히 일부에 불과하지만, 개발자에게 잠재적인 위험이 있음을 보여줍니다. 또한 Sysdig에서 설명하는 방법은 클라우드 및 컨테이너 워크로드를 대상으로 합니다.
타이포스쿼팅은 크립토마이너가 레이싱한 이미지를 신뢰할 수 있는 이미지로 위장하는 데도 사용되었습니다. 도커 허브 이미지로 인한 보안 위험은 플랫폼에서 공용 리포지토리 기반 이미지의 사용이 증가함에 따라 더욱 커질 것으로 예상됩니다.
이 글의 출처는 BleepingComputer의 기사입니다.
유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=KCXufqB4_qI
