‘데로’ 채굴 악성코드, 도커 컨테이너 뚫고 확산… “자가 복제형 위협 주의”

외부로 노출된 컨테이너 관리 도구의 틈을 타 암호화폐를 채굴하는 보안 위협이 거세졌다. 글로벌 보안업체 카스퍼스키는 도커(Docker) API 환경의 취약점을 악용해 '데로(Dero)'를 채굴하는 악성코드가 유포 중이라고 발표했다. 클라우드 네이티브 인프라를 운영하는 기업의 보안 설정 부재를 틈탄 자가 복제형 감염 방식이다.

공격은 외부에 노출된 도커 API 기본 포트를 통해 우분투 기반 악성 컨테이너를 생성하는 방식으로 시작된다. 바이너리 파일인 'cloud'는 암호화폐 채굴을 수행하고 'nginx'는 실행 상태를 유지하며 다른 노출 환경을 탐색해 감염을 전파한다. 별도의 명령·제어(C2) 서버 없이 감염된 컨테이너가 독립적으로 인터넷을 스캔해 악성코드를 배포하는 구조다. 단 하나의 단말 감염이 전체 네트워크 확산의 기점이 될 수 있다.

국가별 노출 현황 및 위장 전술 분석
보안 검색엔진 쇼단(Shodan)의 2025년 분석 자료를 보면 매달 평균 485 건의 도커 API 포트가 외부에 노출되고 있다. 지역별로는 중국이 138 건으로 가장 많았고 독일 97 건, 미국 58 건, 브라질 16 건, 싱가포르 13 건 순이다. 소프트웨어 개발사와 클라우드 서비스 제공업체(CSP)가 주요 표적이다. 악성코드는 실행파일 내에 'cloud'와 'nginx'라는 일반적인 이름을 포함해 보안 탐지 시스템의 눈을 피하는 전술을 쓴다.

런타임 보호 강화 및 360도 보안 접근 필요
카스퍼스키는 대응 방안으로 도커 API의 외부 노출 금지와 TLS 기반 인증 적용을 제시했다. 침해 평가 도입과 런타임 보호 강화도 필수적이다. 컨테이너가 핵심 인프라로 자리 잡은 만큼 개발부터 운영 전 단계에 걸친 통합 보안 접근이 요구된다. 공격자들이 합법적인 개발 인프라 자체를 무기로 활용하고 있어 감염의 기하급수적 확산을 막는 선제적 조치가 중요하다.

디지털 전환 속도가 빠른 환경일수록 컨테이너 의존도가 높다. 카스퍼스키코리아는 클라우드 기반 산업 전반에 대한 구조적 경고라고 분석했다. 인프라의 확장성만큼이나 보안 결함을 메우는 세밀한 관리가 기업의 지속 가능성을 결정짓는 요소가 될 전망이다.