카스퍼스키가 암호화폐 ‘데로(Dero)’를 채굴하는 리눅스 기반 악성코드 캠페인을 발견했다.
해당 악성코드는 외부에 노출된 도커(Docker) API를 통해 컨테이너 환경으로 침투한 뒤, 시스템 자원을 활용해 암호화폐를 채굴한다. 악성코드에 감염된 컨테이너는 자원을 할당받은 즉시 두 개의 악성 바이너리인 'cloud'와 'nginx'를 다운로드하고 실행한다. cloud는 데로 채굴기 역할을, nginx는 채굴기의 지속 실행과 감염 확산을 담당한다. 이 악성코드는 별도의 명령 제어 서버 없이 독립적으로 작동하며 감염된 컨테이너를 기반으로 추가 전파가 가능하다.
공격자는 표준 Ubuntu 이미지를 활용해 새로운 컨테이너를 만들거나 기존 컨테이너를 직접 감염시키는 방식으로 활동한다. 카스퍼스키는 이 악성코드를 'Trojan.Linux.Agent.gen' 및 'RiskTool.Linux.Miner.gen'으로 분류하고 있다. 해당 캠페인은 도커 API 기본 포트가 외부에 노출된 환경을 표적으로 삼고 있다. 카스퍼스키 시큐리티 서비스는 침해 평가 과정에서 해당 캠페인을 발견했으며 공격자는 도커 API 포트를 통해 원격에서 악성 이미지를 생성하고 자동 실행하도록 구성했다.
앰젯 와제(Amjed Wajed) 카스퍼스키 시큐리티 서비스 사고 대응 전문가는 “이는 보안 조치가 즉시 도입되지 않을 경우, 감염된 각 컨테이너가 새로운 공격 출발점이 되어 감염이 기하급수적으로 증가할 가능성을 보여준다”며 “컨테이너는 소프트웨어 개발, 배포 및 확장성의 근간이다. 클라우드 네이티브 환경, 데브옵스, 마이크로서비스 아키텍처 전반에 걸친 광범위한 사용은 공격자에게 매력적인 표적이 된다. 이러한 의존성 증가에 따라, 기업은 강력한 보안 솔루션과 사전 위협 탐지, 정기적인 침해 평가를 결합한 360도 보안 접근 방식을 채택해야 한다”고 말했다.
카스퍼스키 분석에 따르면, 2025년 기준 매달 평균 485건의 도커 API 포트가 전 세계에서 외부에 노출된 채 운영되고 있으며 중국, 독일, 미국 순으로 노출 건수가 많았다. 이효은 카스퍼스키 한국지사장은 “이번 도커 API 공격 캠페인은 한국의 클라우드 네이티브 비즈니스에 위협이 된다. 공격자들은 합법적인 컨테이너 이미지를 무기화하여 전통적인 방어 체계를 우회하는 자가 복제형 위협을 만들어내고 있다. 한국의 빠른 디지털 전환 상황에서, 모든 기업은 즉시 컨테이너 구성을 점검하고, 런타임 보호를 구현하여 주요 산업 전반의 컨테이너 보안 기준을 강화해야 한다”고 강조했다.
카스퍼스키는 이번 캠페인에 대응하기 위한 보안 권고도 함께 제시했다. 기업은 도커 API를 외부에 노출하지 않고 TLS 기반 인증을 적용해야 하며 보안 업데이트를 주기적으로 수행하고 도커와 컨테이너 구성을 주기적으로 점검해야 한다. 또한 자사의 'Kaspersky Container Security' 솔루션을 포함한 위협 탐지, 침해 평가, 사고 대응 기능을 연계해 다층적 보안 체계를 구축할 수 있다고 설명했다.
헬로티 구서경 기자 |
