쿠버네티스 클러스터 장악하게 해 주는 카오스데퓨티 취약점 발견
- 네 개의 심각한 취약점...하나로 묶어 카오스데퓨티
- 쿠버네티스 클러스터 장악까지 가능
- 권한 높은 '카오스메시'가 문제의 근원
쿠버네티스 환경에서 클러스터 장악으로 이어질 수 있는 취약점이 다수 발견됐다. 보안 기업 제이프로그(JFrog)가 발표한 바에 의하면 해당 취약점들을 익스플로잇 하는 데 성공할 경우 각종 악성 요소를 주입해 네트워크 통신을 방해하거나 세션을 강제로 종료시킬 수도 있고, 주요 계정 토큰을 탈취하는 등 여러 가지 악성 행위를 실행할 수 있다고 한다.
카오스메시라는 인기 오픈소스 도구
이 취약점이 발견된 곳은 카오스메시(Chaos Mesh)라는 오픈소스 도구다. 여러 가지 유형의 장애 및 고장 시뮬레이션을 가능하게 해 줌으로써 개발자들이 소프트웨어 생애주기 동안 발생할 수 있는 각종 비정상 상황들에 대비할 수 있게 해 준다. 카오스 엔지니어링을 위한 플랫폼이라고 볼 수 있으며, 상당히 많은 사용자를 거느리고 있다. 즉, 이번 취약점의 파급력이 적지 않다는 의미다.
카오스 엔지니어링(chaos engineering)이란 시스템이 예측하지 못한 상황들을 버틸 수 있는지 실험하는 것을 말한다. 일부러 각종 장애 및 혼란 상황을 소프트웨어에 주입한 후 시스템이 얼마나 버티는지, 어떻게 복구되는지를 살핀다. 스트레스 테스트(stress test)라는 것과 헷갈릴 수 있는데, 카오스 엔지니어링은 장애가 발생하는 상황에서 시스템이 정상적으로 작동할 수 있는지를 확인하는 것이고 스트레스 테스트는 과부하가 언제 걸리는지, 즉 시스템 한계가 어디인지를 확인하는 것이다. 자동차가 아우토반에서 시속 240km/h까지 달릴 수 있는지 알아보는 게 스트레스 테스트, 아우토반을 달리다 타이어가 펑크나는 상황에서 차가 어떻게 되는지 파악하는 게 카오스 엔지니어링이다.
취약점은 총 4개로, 합쳐서 카오틱데퓨티(Chaotic Deputy)라고 불린다.
1) CVE-2025-59358 : 쿠버네티스 클러스터에 그래프큐엘(GraphQL) 디버깅 서버를 노출시킴으로써 프로세스를 종료시킬 수 있게 된다. 디도스 공격을 가능하게 한다. CVSS 기준 7.5점.
2) CVE-2025-59359 : 카오스 컨트롤러 매니저(Chaos Controller Manager)의 cleanTcs에서 발견된 OS 명령 주입 취약점이다. CVSS 기준 9.8점.
3) CVE-2025-59360 : 카오스 컨트롤러 매니저의 killProcesses에서 발견된 OS 명령 주입 취약점이다. CVSS 기준 9.8점.
4) CVE-2025-59361 : 카오스 컨트롤러 매니저의 cleanlptablers에서 발견된 OS 명령 주입 취약점이다. CVSS 기준 9.8점.
강력한 연계 익스플로잇
카오틱데퓨티의 개별 취약점들은 따로 따로 익스플로잇 했을 때보다 연계해 공략했을 때 더 큰 영향을 줄 수 있다고 제이프로그는 설명한다. 클러스터 전체에서 원격 코드 실행 공격까지 할 수 있다는 게 핵심이다. “카오스 컨트롤러 매니저의 그래프큐엘 서버에 충분한 인증 매커니즘이 없다는 점이 문제의 근원입니다. 이 때문에 인증되지 않은 공격자가 카오스 데몬(Chaos Daemon)에서 임의 명령을 실행할 수 있고, 이로 인해 클러스터를 장악할 수 있게 됩니다.”
클러스터 장악 후 공격자는 민감 데이터 탈취, 주요 서비스 중단, 클러스터 내 횡적 이동을 통한 권한 상승까지 수행할 수 있게 된다고 제이프로그는 설명했다. “저희는 이 취약점을 5월 6일에 보고했고, 카오스메시 측은 8월 21일에 업데이트 된 버전(2.7.3)을 배포하기 시작했습니다. 사용자들 편에서의 조속한 업데이트 적용이 필요합니다.” 그 외에 카오스메시를 안전한 환경에서 실행하는 것이 안전하다고 제이프로그는 강조했다.
“카오스메시는 기능적 특성상 쿠버네티스 전체에 대한 제어 권한을 가지고 있을 수밖에 없습니다. 시스템에 혼란을 주는 게 목적인 도구이기 때문이죠. 이렇게 태생적으로 높은 권한을 가진 솔루션들이 익스플로잇 되면, 그렇지 않은 솔루션들이 침해됐을 때보다 훨씬 피해가 심각해질 수 있습니다.” 제이프로그의 설명이다.
권한이 높은데 취약하면 더 위험
제이프로그가 지적한 것처럼 여지껏 권한이 높은 요소에서 나온 취약점들은 대부분 거대한 이슈가 됐다. 2014년의 하트블리드(Heartbleed) 취약점의 경우 TLS 라이브러리인 오픈SSL(OpenSSL)에서 발견됐었다. 오픈SSL은 인터넷 서비스 암호화를 담당하는 요소라, 이 취약점을 통해 수많은 서버와 서비스의 비밀 키가 유출될 수 있었다.
2021년의 로그4셸(Log4Shell) 취약점의 경우 로그4j(Log4j)라는 로그 라이브러리에서 발견됐었다. 취약점 자체도 원격 코드 실행을 가능케 할 정도로 심각한데, 로그4j가 사실상 거의 모든 종류의 솔루션들에서 사용되는 중요 요소이기 때문에 전 세계적인 대응이 필요한 취약점으로 대두됐다. 사상 최악의 취약점으로 지금까지도 꼽히고 있으며, 아직까지도 여러 공격에 연루되곤 한다.
같은 해(2021년) MS 익스체인지에서 발견된 프록시로그온(ProxyLogon) 취약점 역시 이 방면에서 악명이 높다. 익스체인지라는 이메일 플랫폼이 전 세계 수많은 기업에서 사용되고 있으며, 프록시로그온 자체가 시스템 권한으로 코드 실행을 가능케 하는 취약점이라 파급력이 컸다. 실제 중국 하프늄(Hafnium)이라는 해킹 조직이 대규모 침해 공격으로 메일 서버를 대량 탈취했다.
보안 솔루션들도 같은 카테고리로 묶을 수 있다. 거의 모든 보안 솔루션들 자체가 권한이 높기 때문이다. 게다가 ‘보안 솔루션’이기 때문에 사용자들은 취약점이나 해킹 공격이라는 방면에서 완전 무결하다고 믿고 있기까지 하다. 백신이 대표적이다. 권한이 높아야 본연의 목적을 수행할 수 있는데, 보안 제품이기 때문에 취약점이 있다는 걸 사용자들이 잘 생각하지 않는다. 하지만 의외로 백신에서도 취약점이 꾸준히 발견되는 편이다(예 : CVE-2020-7337 등). 권한이 높은 요소나 소프트웨어들에 대해서는 각별한 주의가 필요하다.
Related Materials
- Critical CVEs in Chaos-Mesh Enable In-Cluster Code Execution and Cluster Takeover - InfoSecurity Magazine, 2025년
- Chaotic Deputy: Critical Vulnerabilities in Chaos-Mesh Lead to Kubernetes Cluster Takeover - JFrog Security Research, 2025년
- Chaos Mesh Critical Vulnerabilities Expose Kubernetes Environments to Takeover - GBHackers, 2025년
- Chaotic Deputy Vulnerabilities in Chaos-Mesh Platform - The Hacker News, 2025년
문가용 기자
문가용 기자
