‘데로’ 채굴 악성코드, 도커 컨테이너 뚫고 확산… “자가 복제형 위협 주의”

글로벌 보안업체 카스퍼스키는 최근 오픈소스 컨테이너 플랫폼인 도커(Docker)의 노출된 API를 악용해 암호화폐 ‘데로(Dero)’를 채굴하는 악성코드가 유포되고 있다고 밝혔다. 이 악성코드는 도커 환경의 취약점을 활용해 감염을 확산시키는 자가 복제형 형태로, 클라우드 네이티브 인프라에 의존하는 기업들에 새로운 위협으로 떠올랐다.

공격자는 외부에 노출된 도커 API 기본 포트를 통해 기존 컨테이너를 침해하거나, 우분투(Ubuntu) 기반 악성 컨테이너를 새로 생성한다. 이후 'cloud'와 'nginx'라는 이름의 악성 바이너리를 삽입해 감염을 확산시킨다. ‘cloud’는 데로 채굴기, ‘nginx’는 채굴기 실행을 유지하고 다른 노출 환경을 탐색해 감염을 전파하는 역할을 한다.

카스퍼스키 보안전문가들은 이 공격이 전통적인 명령·제어(C2) 서버 없이 각 감염 컨테이너가 독립적으로 인터넷을 스캔하고 악성코드를 배포하는 구조라고 분석했다. 이는 보안 설정이 부재한 도커 환경에서 단 하나의 감염 컨테이너가 전체 네트워크의 확산 기점이 될 수 있음을 의미한다.

실제 보안 검색엔진 ‘쇼단(Shodan)’에 따르면, 2025년 현재 매달 평균 485건의 도커 API 기본 포트가 외부에 노출돼 있으며, 지역별로는 중국(138건), 독일(97건), 미국(58건), 브라질(16건), 싱가포르(13건) 순이다. 기술기업, 소프트웨어 개발사, 클라우드 서비스 제공업체(CSP) 등 도커 기반 인프라를 운영하는 기업들이 주요 표적이다.

공격에 사용된 악성코드는 이진 실행파일 내에 ‘cloud’와 ‘nginx’ 이름을 직접 포함해, 일반적인 보안 탐지 시스템을 우회하려는 전형적인 위장 전술을 활용한다. 카스퍼스키는 이번 캠페인이 침해 평가(compromise assessment) 과정에서 포착됐다고 설명했다.

카스퍼스키는 대응책으로 ▲도커 API 외부 노출 금지, ▲TLS 기반 인증 적용, ▲침해 평가 도입 및 런타임 보호 강화 등을 제안했다. 특히 컨테이너 환경이 핵심 인프라로 자리잡은 상황에서 기업들은 개발~운영 전 단계에 걸친 360도 보안 접근이 필요하다고 강조했다.

카스퍼스키 시큐리티 서비스의 앰젯 와제(Amged Wageh) 전문가는 “컨테이너는 소프트웨어 배포와 확장의 중심이지만, 보호되지 않으면 감염의 기하급수적 출발점이 된다”며, “공격자들은 이제 합법적인 개발 인프라 자체를 무기로 활용하고 있다”고 분석했다.

이효은 카스퍼스키코리아 지사장은 “한국은 빠른 디지털 전환 속에서 컨테이너 의존도가 높다. 이번 캠페인은 단순한 보안 사고가 아니라, 클라우드 기반 산업 전반에 대한 구조적 경고”라고 밝혔다.