- 오픈소스 컨테이너 개발 플랫폼 도커(Docker)의 노출된 도커 API를 악용
- 2025년 현재, 매달 전 세계적으로 평균 약 500건에 달하는 도커 API 기본 포트가 취약한 상태로 외부에 노출되어 있는 것으로 확인
카스퍼스키는 오늘, KSS(Kaspersky Security Services) 보안 전문가들이 컨테이너화된 환경을 대상으로 암호화폐 ‘데로(Dero)를 채굴하기 위한 악성코드를 배포하는 정교한 사이버 공격을 확인했다고 밝혔다.
공격자들은 오픈소스 컨테이너 개발 플랫폼 도커(Docker)의 노출된 도커 API를 악용한다. 2025년 현재, 매달 전 세계적으로 평균 약 500건에 달하는 도커 API 기본 포트가 취약한 상태로 외부에 노출되어 있는 것으로 확인된다.이 사이버 공격자들은 두 가지 유형의 악성코드(멀웨어)를 침해된 시스템에 주입한다. 하나는 채굴기이고, 다른 하나는 이 캠페인을 다른 취약한 컨테이너 네트워크로 확산시키는 전파형 악성코드다.
카스퍼스키 전문가들은 이번 악성 캠페인을 침해 평가(compromise assessment) 프로젝트를 진행하던중에 발견했으며, 컨테이너 기반 인프라를 운영하면서 강력한 보안 통제 없이 도커 API를 외부에 노출하고 있는 모든 기업이 잠재적 공격 대상이 될 수 있는 것으로 분석했다. 이러한 기업으로는 기술 기업, 소프트웨어 개발사, 호스팅 제공업체, 클라우드 서비스 제공업체(CSP), 기타 다수 기업이 포함된다.
'쇼단(Shodan)'에 따르면, 2025년 현재 전 세계적으로 매달 평균 485건의 도커 API 기본 포트가 노출되어 있다. 이 수치는 공격 캠페인의 공격 표면이 될 수 있는 진입 지점으로, 공격자가 노릴 수 있는 보안되지 않은 포트를 나타낸다. 중국이 월 평균 약 138건으로 가장 많았으며, 그 뒤를 독일(97건), 미국(58건), 브라질(16건), 싱가포르(13건)가 따랐다.
공격자가 노출된 도커 API를 식별하면, 기존 컨테이너를 침해하거나, 표준 Ubuntu 이미지를 기반으로 새로운 악성 컨테이너를 생성한다. 이후 감염된 컨테이너에는 엔진엑스(nginx)와 클라우드(cloud)의 두 가지 악성코드가 주입된다.
‘cloud’는 Dero 암호화폐 채굴기이고, ‘nginx’는 지속성을 유지하고 채굴기의 실행을 보장하며, 다른 노출된 환경을 스캔하는 악성 소프트웨어다. 이 악성코드는 전통적인 명령 및 제어 서버를 사용하지 않고, 각 감염된 컨테이너가 독립적으로 인터넷을 스캔하고, 채굴기를 새로운 대상에게 확산시킬 수 있도록 한다.
카스퍼스키 시큐리티 서비스의 앰젯 와제(Amged Wageh) 사고 대응 및 침해 평가 전문가는 “이는 보안 조치가 즉시 도입되지 않을 경우, 감염된 각 컨테이너가 새로운 공격 출발점이 되어 감염이 기하급수적으로 증가할 가능성을 보여준다”고 설명하고, “컨테이너는 소프트웨어 개발, 배포 및 확장성의 근간이다. 클라우드 네이티브 환경, 데브옵스, 마이크로서비스 아키텍처 전반에 걸친 광범위한 사용은 공격자에게 매력적인 표적이 된다. 이러한 의존성 증가에 따라, 기업은 강력한 보안 솔루션과 사전 위협 탐지, 정기적인 침해 평가를 결합한 360도 보안 접근 방식을 채택해야 한다”고 밝혔다.
카스퍼스키 이효은 한국지사장은 “이번 도커 API 공격 캠페인은 한국의 클라우드 네이티브 비즈니스에 위협이 된다. 공격자들은 합법적인 컨테이너 이미지를 무기화하여 전통적인 방어 체계를 우회하는 자가 복제형 위협을 만들어내고 있다. 한국의 빠른 디지털 전환 상황에서, 모든 기업은 즉시 컨테이너 구성을 점검하고, 런타임 보호를 구현하여 주요 산업 전반의 컨테이너 보안 기준을 강화해야 한다”고 덧붙였다.
공격자들은 nginx와 cloud라는 이름을 바이너리 내부에 직접 삽입했다. 이 바이너리는 인간이 아닌 프로세서가 해석하는 명령어 및 데이터로 구성된 고정형 실행 파일이다. 이는 페이로드가 합법적인 도구처럼 위장하여 분석가와 자동 방어 체계를 속이려는 고전적인 위장 전술이다.
#카스퍼스키#도커#API#악성코드#nginx#cloud#컨테이너#데로#암호화폐#
