안녕하세요, 사이버 보안 전문가 여러분! 오늘은 Google Cloud Platform(GCP)의 Composer에서 발견된 치명적인 보안 결함에 대해 이야기하겠습니다. 이 결함은 ‘CloudImposer’라고 불리며, 원격 코드 실행을 가능하게 할 수 있는 취약점입니다.
어떤 문제가 있었을까요?
Tenable Research의 보안 연구원인 Liv Matan에 따르면, 이 취약점은 Google이 사전 설치한 소프트웨어 종속성을 해킹할 수 있는 기회를 제공했습니다. 이는 공급망 공격 기법 중 하나인 ‘의존성 혼동’을 통해 이루어질 수 있습니다.
의존성 혼동은 서로 동일한 이름을 가진 패키지가 내부 저장소와 공개 리포지토리에서 존재할 때 발생하는 상황입니다. 해커는 높은 버전 번호를 가진 패키지를 공개 리포지토리에 게시하여, 패키지 관리자에게 내부 리포지토리의 파일 대신 공개 리포지토리에서 악의적인 패키지를 자동으로 다운로드하도록 유도할 수 있습니다.
결함의 동작 방식
이 결함은 Google Cloud Composer 시스템의 특정 패키지(즉, google-cloud-datacatalog-lineage-producer-client)와 관련이 있습니다. Tenable은 이 패키지를 악용하여 Composer 인스턴스에 사전 설치된 경우, 해커가 악성 코드를 삽입할 가능성을 제기했습니다. 또한 패키지에 대한 “pip install” 명령어에 --extra-index-url 인자를 사용하게 되면 공개 저장소에서의 패키지 검색이 우선시 되어 큰 문제를 일으킬 수 있습니다.
Google의 대응
올해 1월 18일, 이 문제가 공개된 이후 Google은 5월에 이 결함을 수정하였습니다. 새로운 패치에서는 패키지가 내부 리포지토리에서만 설치되도록 보장했으며, 패키자 체크섬 검증 기능도 추가했습니다. 이를 통해 패키지가 변조되지 않았음을 확인할 수 있습니다.
사용자 권장 사항
Google은 사용자에게 --extra-index-url 인자 대신 --index-url 인자를 사용하도록 권장하며, GCP 고객은 여러 리포지토리를 필요할 경우 아티팩트 레지스트리 가상 리포지토리를 사용하는 것을 추천합니다.
결론: 오늘 전해드린 GCP Composer의 보안 결함은 공급망 공격이 얼마나 치명적일 수 있는지를 잘 보여줍니다. 모든 사이버 보안 전문가와 사용자 여러분은 이러한 취약점을 면밀히 주시하고, 적절한 대응 방안을 마련하는 것이 중요합니다.