XZ-Utils 백도어, 1년이 지나도록 여전히 남아있다: 도커 허브 이미지의 위험성 경고

오픈 소스 커뮤니티를 충격에 빠뜨렸던 XZ-Utils 백도어 사건이 발생한 지 1년이 넘었지만, 여전히 그 여파는 남아있습니다. 특히 도커 허브에 호스팅된 일부 리눅스 이미지들이 여전히 위험한 백도어 악성코드를 포함하고 있어 소프트웨어 개발자와 그들의 제품이 탈취, 데이터 절도, 랜섬웨어 등의 위험에 노출될 수 있다는 경고가 제기되고 있습니다.

XZ-Utils 백도어란 무엇인가?

2024년 3월, 보안 연구자들은 XZ-Utils 5.6.0 및 5.6.1 버전 (liblzma.so 라이브러리)에서 악성 코드 조각인 "XZ Utils"를 발견했습니다. 이 백도어는 'Jia Tan'이라는 개발자가 삽입했으며, 그는 사건 발생 전 2년 동안 다양한 기여를 통해 커뮤니티에서 상당한 신뢰를 쌓았습니다. 이 백도어는 일부 리눅스 배포판 패키지에 짧은 시간 동안 전파되었지만, 안정적인 릴리스에는 포함되지 않았습니다.

여전히 남아있는 위험 요소

보안 연구 기관인 Binarly는 백도어를 포함한 악성 XZ-Utils 패키지가 데비안, 페도라, OpenSUSE를 포함한 여러 리눅스 배포판의 특정 브랜치에서 배포되었다고 밝혔습니다. Binarly 전문가들은 문제 발생 시점에 구축된 일부 도커 이미지 또한 백도어를 포함하고 있다고 지적합니다. 언뜻 보기에는 배포 패키지에 백도어가 삽입되었다면 이를 기반으로 하는 도커 이미지도 백도어가 삽입되는 것이 당연해 보일 수 있습니다. 그러나 연구진은 일부 손상된 이미지가 여전히 도커 허브에서 사용 가능하며, 다른 이미지를 구축하는 데 사용되어 전이적으로 감염되었다고 밝혔습니다.

데비안의 입장

Binarly는 데비안 이미지만 집중적으로 분석하여 "단 35개의" 이미지만 발견했다고 밝혔습니다. Fedora, OpenSUSE 및 XZ Utils 백도어의 영향을 받은 다른 배포판의 도커 이미지에 대한 영향은 아직 알려지지 않았습니다. 데비안 측은 해당 이미지가 오래되었고 사용되어서는 안 된다는 이유로 악성 이미지를 제거하지 않을 것이라고 밝혔습니다. 대신 "역사적 유물"로 남겨둘 것이라고 합니다. 이는 개발자들이 주의를 기울여야 하는 부분입니다. 오래된 이미지라고 안전하다는 보장이 없으며, 오히려 보안 업데이트가 적용되지 않아 더 취약할 수 있기 때문입니다.

보안 강화를 위한 노력

이러한 위험을 완화하기 위해 개발자들은 다음과 같은 조치를 취해야 합니다.
* **이미지 출처 확인:** 도커 허브에서 이미지를 사용할 때는 신뢰할 수 있는 출처인지 확인하고 공식 이미지를 사용하는 것이 좋습니다.
* **정기적인 스캔:** 사용하는 이미지를 정기적으로 스캔하여 알려진 취약점이나 악성 코드가 있는지 확인합니다.
* **최신 버전 유지:** 사용하는 운영체제 및 소프트웨어 버전을 항상 최신으로 유지하여 알려진 보안 취약점을 해결합니다.
* **보안 업데이트:** 보안 업데이트를 주기적으로 확인하고 적용하여 시스템의 보안을 강화합니다.
* **도커 보안 강화:** 도커 환경 자체의 보안 설정을 강화하여 공격 표면을 줄입니다.

결론

XZ-Utils 백도어 사건은 오픈 소스 생태계의 공급망 공격 위험을 명확하게 보여주는 사례입니다. 개발자들은 이러한 위험에 대한 인식을 높이고, 위에서 언급한 보안 강화 조치를 통해 자신의 시스템과 제품을 보호해야 합니다. 또한, 데비안과 같은 배포판들은 오래된 이미지라고 하더라도 잠재적인 위험을 감안하여 적극적으로 제거하거나, 명확한 경고를 표시하는 등의 조치를 고려해야 할 것입니다.