시스템콜 시퀀스 추출 프레임워크를 이용한 시퀀스 기반 컨테이너 보안 강화 기법의 정량적 분석 연구

송소민, 김유양, 탁병철

http://doi.org/10.5626/JOK.2023.50.11.913

컨테이너 탈출(Container Escape)은 호스트 커널을 공유하는 컨테이너 환경에서 가장 치명적인 위협 중 하나이다. 공격자는 시스템콜을 조작하여 커널 취약점을 악용하고, 상승된 권한을 통해 호스트에 대한 액세스 권한을 탈취함으로써 컨테이너를 탈출할 수 있다. Seccomp는 컨테이너에서 널리 사용되는 보안 메커니즘으로 Seccomp 프로필에 따라 악의적인 목적으로 호출되는 시스템콜을 필터링함으로써 컨테이너의 격리 수준을 강화한다. 하지만 시스템콜을 개별적으로 차단하는 Seccomp의 현재 필터링 메커니즘은 프로필에 의해 허용된 시스템콜 집합만을 사용하여 여전히 공격이 가능하다는 근본적인 한계를 지닌다. 따라서 본 논문에서는 정적 분석과 동적 분석을 결합한 하이브리드 분석을 통해 악성코드를 분석하여 시스템콜 시퀀스를 추출하는 프레임워크를 제시하였다. 이를 통해 동일한 악성코드에 대하여 적절한 시스템콜 프로필을 생성해, 기존의 개별 시스템콜 기반 필터링 메커니즘과 본 논문에서 제안하는 시스템콜 시퀀스(Sequence) 기반 필터링 메커니즘이 차단 가능한 악성코드의 개수를 비교하여 두 필터링 기법의 보안성을 분석하였다. 그 결과, 제안된 시스템콜 시퀀스 기반 필터링 메커니즘이 기존의 개별 시스템콜 기반 필터링 메커니즘의 보안성을 63%에서 98%까지 증가시켰다.