"컨테이너 이미지 보안 구멍, 배포 전에 메워야"

트렌드마이크로, 도커 활용 개발운영 인프라 보안솔루션 국내출시

컴퓨팅입력 :2018/09/06 16:05    수정: 2018/09/06 23:48

"기업 데이터센터가 프라이빗 클라우드화하면서 클라우드인프라 범위가 넓어졌다. 몇년새 클라우드 환경에 컨테이너 기술 채택 비중도 급증해 기업 67%가 도커(Docker)를 사용하고 있는데, 여기서도 보안 홀이 발생한다. 그런데 악성코드나 보안취약점을 포함한 도커 이미지를 무작정 많이 내려받아 쓰는 경우가 있다. 이미 침해된 이미지가 실제 서비스 인프라에서 돌면 심각한 문제가 된다. 실제 워크로드로 배포하기 전에 취약점과 악성코드 포함 여부를 점검해야 한다."

박상현 한국트렌드마이크로 대표는 6일 서울 삼성동 코엑스 인터컨티넨탈호텔 '클라우드섹코리아2018' 기조연설을 통해 이같이 조언했다. 그는 기업의 자체 서버, 프라이빗클라우드, 퍼블릭클라우드를 혼용하는 하이브리드클라우드 환경에서 대두되는 보안문제와 해법을 제시했다. 하이브리드클라우드 환경의 보안문제는 다양한 서버 운영체제(OS)의 보호, 아마존웹서비스(AWS)와 마이크로소프트(MS) 애저와 구글클라우드 등 퍼블릭클라우드 영역의 보호, 데브옵스(DevOps) 체제에서 개발 및 배포되는 컨테이너 이미지 보호, 3가지로 요약됐다.

박상현 한국트렌드마이크로 대표

첫째 문제인 여러 서버 OS 보호 문제는 OS 공급업체의 패치 및 업데이트 제공과 서버용 안티바이러스 솔루션이 서버 플랫폼을 얼마나 포괄적으로 보호하는지에 달렸다. 윈도 서버는 MS가 제품수명주기에 따라 제공하는 패치를 쓰고 윈도용 안티바이러스 제품을 쓰면 된다. 리눅스 서버는 공급업체에 따라 다양한 배포판이 만들어지고 개발 시기에 따라 차이가 큰 커널 및 구성환경 등으로 모든 안티바이러스 제품의 지원을 보장받지 못하는 실정이다.

박 대표는 "지난해 국내 호스팅업체의 리눅스서버가 랜섬웨어 공격 피해를 입은 이래로 해커가 윈도를 쓰는 개인 이용자보다 데이터를 보유한 리눅스 서버를 더 노리고 공격을 집중하고 있고, 올해 8월까지 리눅스 환경에서 1만5천개 이상의 바이러스가 발견됐다"면서 "윈도와 리눅스 등 모든OS를 패치와 백신으로 보호해야 하는데 리눅스 백신 제품 중 발견된 바이러스 시그니처를 제대로 업데이트하지 못하거나, 다양한 업체별 배포판과 커널을 미지원하는 경우가 많다"고 지적했다.

둘째 문제인 퍼블릭클라우드 영역의 보호 문제는 기업이 데이터센터 외부 인프라를 활용하는 개별 부서의 업무 절차에 보안 부서가 개입할 수 없는 한계가 함께 작용해 발생한다. AWS, MS애저, 구글클라우드의 가상머신(VM)에서 워크로드가 돌아갈 때 어느 클라우드에 어느 워크로드가 돌고 있는지 보안부서가 일일이 확인하지 못한다. 이를 확인하고 워크로드에 발생할 수 있는 보안위협을 차단하려면 먼저 데이터센터 외부의 기업 워크로드를 내부 인프라의 물리 및 가상 서버와 함께 관리할 수 있는 중앙화된 콘솔이 필요하다.

박 대표는 "개발부서에서 데이터센터 외부 클라우드 자원을 활용하면 거기서 신용카드같은 중요 정보를 다루는 기능을 워크로드에 넣어 출시하더라도 보안 부서는 그 과정에 개입하지 못하고 어쩌면 그렇게 일이 진행되고 있는지 파악하지도 못한다"며 "출시된 워크로드가 어느 클라우드에 있는지 모르고 서비스나 시스템의 보안취약점이 뚫렸는지 관제도 못 할 수 있는데, 자체 센터의 물리 및 가상 서버와 프라이빗클라우드, 국내 또는 해외 소재 퍼블릭클라우드 인프라까지 관리할 수 있어야 한다"고 강조했다.

셋째 문제인 데브옵스 체제의 컨테이너 이미지 보호 문제는 서비스 인프라 개발 및 운영 과정에 활용하는 외부 컨테이너 이미지의 취약점이나 결함을 확인하지 못하는 상황에서 비롯된다. 컨테이너 기술 중 하나인 도커의 이미지를 배포하는 '도커허브' 사이트에서 지난 5월 침해된 일부 이미지가 등록됐는데, 도커 인프라를 구축한 조직에서 이를 의심 없이 내려받아 약 500만개의 도커 컨테이너가 취약점 공격을 당해 감염당한 상태로 작동 중이었다는 사실이 보안업체 크롬테크(KROMTECH)를 통해서 파악됐다.

박 대표는 "문제가 있는 이미지들은 도커허브 사이트에서 바로 내려갔지만 이런 일은 앞으로 계속 벌어질 수 있다"며 "지금은 데브옵스 체제로 움직이는 조직들이 도커 이미지를 사용해 인프라 워크로드를 개발할 때 커밋, 빌드, 도커 레지스트리에 등록, 배포하는 단계를 밟는데, 도커 레지스트리에 등록한 컨테이너를 운영환경에 배포하기 전에 그 정상 여부를 점검하는 단계를 추가해야 한다"고 설명했다. 그는 "도커 레지스트리를 퍼블릭클라우드에서 공유하는 환경에서도 마찬가지로 이런 점검 단계가 필요하다"고 덧붙였다.

그는 트렌드마이크로 하이브리드클라우드 보안솔루션 '딥시큐리티'를 통해 3가지 문제를 해결 가능하다고 주장했다. 딥시큐리티는 서버용 안티바이러스 기능 및 엔드포인트 방화벽과 침입방어시스템(IPS) 기능을 포함한 서버용 통합 엔드포인트 솔루션이다. 긴급 취약점 발생시 룰기반 가상패치를 적용하는 에이전트 형태로 기업 데이터센터 내 윈도와 리눅스 기반 물리 및 가상서버와 프라이빗클라우드의 시스템, AWS와 MS애저와 구글 등 글로벌 퍼블릭클라우드 업체의 가상서버까지 지원한다는 설명이다.

관련기사

박 대표는 이날 트렌드마이크로가 셋째 문제를 해결할 수 있는 역량을 보유했다는 메시지에 무게를 실었다. 국내 출시하는 '딥시큐리티 스마트체크'로 도커 이미지를 활용해 실시간 개발과 운영을 진행하는 조직의 데브옵스 환경의 배포 전 이미지의 이상 유무도 탐지할 수 있다고 밝히면서다. 딥시큐리티 스마트체크는 독립 컴포넌트로 제공된다. 클라우드 인프라에서 돌아가는 도커 및 쿠버네티스 환경에서 컨테이너 이미지를 보호하고 취약점 관리, 조사를 자동화하는 API를 제공한다.

클라우드섹 컨퍼런스는 트렌드마이크로가 미주, 유럽, 아태지역에서 개최하는 클라우드보안 컨퍼런스다. 클라우드서비스 사업자와 클라우드 기반 솔루션 업체들이 기업을 대상으로 고유 솔루션을 선보이는 자리로 올해 6년째 개최되고 있다. 한국트렌드마이크로 측은 컨퍼런스가 민간 차원의 클라우드 보급 촉진 행사로 국내 클라우드 확산에 많은 기여를 했다고 자평하고 있다. AWS, 구글클라우드, SK인포섹, 메가존, 아카마이, CA테크놀로지스, 조인어스비즈, 네이버클라우드플랫폼, MS, 다크트레이스가 후원사로 참여했다.