전 세계 매달 500여 개 도커 포트 외부 노출…한국도 예외 아냐

카스퍼스키, 도커 API 노린 ‘데로(Dero)’ 암호화폐 채굴 악성코드 발견…클라우드 컨테이너 보안에 경고

글로벌 사이버보안 기업 카스퍼스키(Kaspersky)가 오픈소스 컨테이너 개발 플랫폼인 도커(Docker)의 노출된 API를 악용해 암호화폐 ‘데로(Dero)’를 채굴하는 정교한 악성코드 공격을 발견했다고 28일 밝혔다.

카스퍼스키는 이 악성 행위를 Kaspersky Security Services 팀의 침해 평가 과정에서 포착했으며, 전 세계적으로 매달 평균 500건에 달하는 도커 API 기본 포트(2375)가 외부에 취약하게 노출돼 있어 관련 인프라를 운영 중인 기업들에게 즉각적인 보안 조치를 경고했다.

이번에 발견된 공격은 단순한 채굴을 넘어, 감염된 컨테이너를 통해 악성코드를 스스로 전파하는 구조를 갖고 있는 것이 특징이다. 공격자는 도커 API가 외부에 노출된 인프라를 대상으로 기존 컨테이너를 감염시키거나, 우분투(Ubuntu) 기반의 악성 컨테이너를 생성해 침투한다. 이후 ‘cloud’와 ‘nginx’라는 두 개의 악성 바이너리를 주입하는데, ‘cloud’는 실제로 데로 암호화폐를 채굴하는 프로그램이며, ‘nginx’는 시스템 내 지속성을 확보하고 다른 컨테이너 환경을 탐색해 감염을 확산시키는 기능을 수행한다.

카스퍼스키는 이 악성코드가 전통적인 명령 및 제어(C2) 서버 없이 각 컨테이너가 독립적으로 인터넷을 스캔하며 악성코드를 확산시키는 자가 전파형 구조를 갖고 있다고 분석했다. 감염 체인이 지속될 경우, 클라우드 네이티브 환경에서 파급력이 매우 클 것으로 우려된다.

이번 공격은 특히 도커 API 포트가 외부에 노출된 환경을 집중적으로 노린다. 검색엔진 쇼단(Shodan)의 분석에 따르면, 2025년 현재 매달 전 세계적으로 평균 485건의 도커 API 포트가 공개된 상태다. 국가별로는 중국(138건), 독일(97건), 미국(58건), 브라질(16건), 싱가포르(13건) 순으로 노출 수가 많았다.

카스퍼스키 시큐리티 서비스팀의 앰젯 와제(Amged Wageh) 침해 대응 전문가는 “이번 사례는 단일 컨테이너 감염이 전체 인프라 공격으로 확대될 수 있다는 점을 보여준다”며, “컨테이너는 현재 마이크로서비스와 데브옵스 환경의 핵심이기 때문에 기업들은 사전 탐지와 런타임 보호, 정기 침해 평가 등 다각적인 방어 전략을 필수적으로 도입해야 한다”고 강조했다.

한국 역시 클라우드 네이티브 전환이 빠르게 진행되는 가운데, 이러한 위협에서 자유롭지 않다. 카스퍼스키 이효은 한국지사장은 “공격자들은 합법적인 컨테이너 이미지를 무기화해 전통적인 보안 체계를 우회하고 있다”며, “한국 기업들은 즉시 컨테이너 설정을 점검하고, 런타임 보호와 함께 보안 기준을 강화해야 할 시점”이라고 밝혔다.

악성코드는 ‘Trojan.Linux.Agent.gen’ 및 ‘RiskTool.Linux.Miner.gen’으로 탐지되며, 이름 또한 바이너리 내부에 직접 삽입돼 분석 회피를 노리는 전형적인 위장 수법을 활용했다.

카스퍼스키는 이번 공격에 대응하기 위해 기업들에게 다음과 같은 보안 수칙을 권고했다.

첫째, Docker API 포트의 외부 노출을 최소화하고 반드시 TLS 등 보안 통신을 설정해야 한다.

둘째, 침해 평가(Compromise Assessment)를 통해 이미 탐지되지 않은 사이버 공격 흔적이 있는지 점검해야 한다.

셋째, Kaspersky Container Security를 활용해 개발·배포·운영 전 단계에 걸쳐 컨테이너 보안을 강화하고, 신뢰된 컨테이너만을 허용하는 정책을 마련해야 한다.

넷째, 보안 인력이 부족한 조직은 Kaspersky의 관리형 보안 서비스(MDR, Incident Response 등)를 도입해 정교한 공격에 효과적으로 대응할 수 있다.

카스퍼스키는 포춘 500대 기업들을 포함해 연간 수백 건의 보안 프로젝트를 수행하며, 사고 대응, 탐지 서비스, 애플리케이션 보안, 디지털 위험 보호 등 다양한 영역에서 기업의 사이버 방어력을 지원하고 있다.