뉴스20. 쿠버네티스 권한 설정 오류 악용한 토큰 탈취 282% 폭증... 방만이 부른 문제

기사 요약:

최근 북한 해킹 조직 '슬로우파이시스'를 포함한 공격자들이 쿠버네티스(Kubernetes)의 설정 오류와 과도한 권한 설정을 악용하여 클라우드 인프라를 장악하는 사례가 급증하고 있다.

 

1. 지난 1년간 관련 위협이 282% 증가했으며, 특히 IT 기업(78%)이 주요 타깃이 되었다.

 

2. 공격 방식이 고도화됨에 따라 단순 컨테이너 침입을 넘어, 서비스 계정 토큰을 탈취해 클라우드 전체 권한을 훔치는 방식으로 진화했다.

 

3. 북한 정찰총국 연계 조직인 ‘슬로우파이시스’(Slow Pisces)는 스피어피싱으로 확보한 권한을 통해 가상화폐 거래소의 쿠버네티스 클러스터를 장악했으며, 탈취한 JWT(JSON Web Token)를 사용해 API 서버에 인증한 뒤, 운영 환경의 워크로드를 조작하고 백도어를 심어 자금을 탈취했다.

개인 의견:

최첨단 클라우드 기술인 쿠버네티스를 도입하더라도, 결국 이를 운용하는 것은 '사람'이라는 점을 느끼게 해주는 기사였다. 공격자들은 복잡한 시스템의 허점을 찾지 않고 편의를 위해 만들어낸 과도한 권한 설정을 노렸다. 이 부분에서 보안은 기술의 고저가 아닌 기본 원칙을 얼마나 성실하게 지키느냐에 달려 있다는 것을 알 수 있었다.

 

<용어정리>

쿠버네티스(Kubernetes): 컨테이너화된 앱의 배포와 관리를 자동화하는 플랫폼. (클라우드의 운영체제 역할)

컨테이너 탈출(Container Escape): 격리된 컨테이너 환경을 뚫고 나와 호스트 서버의 권한을 탈취하는 공격.

스피어피싱(Spear Phishing): 특정 대상을 표적으로 정해 신뢰할 만한 사람을 사칭하여 정보를 훔치는 정밀 피싱.

JWT(JSON Web Token): 인증에 사용되는 디지털 토큰. 탈취당하면 해커가 관리자 권한으로 시스템에 접속 가능.

RBAC(Role-Based Access Control): 사용자 역할에 따라 접근 권한을 차등 부여하는 보안 모델.

(최소 권한 원칙의 핵심)

React2Shell: 리액트 서버 컴포넌트의 취약점으로, 이를 통해 서버 내부의 클라우드 인증 정보를 유출할 수 있음.

Peirates: 쿠버네티스 침투 테스트 및 권한 상승에 사용되는 전문 공격 도구.

 

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143101&page=1&kind=4