Docker API 포트 노출: ‘데로(Dero)' 암호화폐 채굴 악성코드 경고 | CIP Blog

최근 글로벌 보안 기업 카스퍼스키(Kaspersky)는 외부에 노출된 Docker API 포트를 악용한 암호화폐 채굴 악성코드를 발견했다. 해당 공격은 단순한 채굴을 넘어, 감염 확산 기능까지 갖춘 정교한 구조를 가지며 클라우드 인프라 전체를 위협할 수 있다는 점에서 주목받고 있다. 이번 글에서는 Docker API 포트 노출의 보안 위협과 이를 선제적으로 대응하기 위한 전략을 Criminal IP 기반 탐지 사례와 함께 소개한다.

Docker API 포트 노출

Docker는 DevOps 환경에서 컨테이너 기반 서비스를 구현하는 핵심 플랫폼이다. 하지만 Docker 데몬이 기본적으로 사용하는 2375번 포트는 TLS가 비활성화된 상태로 열릴 경우, 인증 없이 외부에서 접근이 가능하다는 치명적인 보안 취약점을 안고 있다. 이 포트를 통해 공격자는 컨테이너를 생성하거나 명령을 실행할 수 있으며, 이는 심각한 보안 위협으로 이어진다.

이번에 발견된 공격은 외부에 노출된 Docker API를 악용해 악성 컨테이너를 생성하고, 감염된 환경에 두 가지 주요 악성코드를 주입하는 방식으로 이루어진다.

cloud: 채굴 기능을 수행하는 악성 바이너리
nginx: 감염된 환경 내에서 자가 전파 기능을 수행

특히 이 공격은 전통적인 C2(Command and Control) 서버 없이, 감염된 컨테이너가 직접 인터넷을 스캔하며 다른 컨테이너로 감염을 확산시킨다. 이로 인해 탐지와 차단이 어려워지고, 클라우드 기반 인프라 전체에 심각한 위협이 된다.

Criminal IP를 통한 노출된 Docker 포트 2375 탐지

공개된 데이터에 따르면 매달 평균 485건의 Docker API 포트가 인터넷에 노출되어 있다. 이 숫자는 실제 공격 표면을 대표하지 않는다. 많은 시스템이 자동화된 설정 배포 중 포트를 실수로 열어두거나, 테스트 환경이 운영 환경으로 전환되며 관리되지 않은 상태로 방치되는 경우가 있기 때문이다.

조직의 공격 표면을 사전에 탐지하기 위해 Threat Intelligence(위협 인텔리전스) 기반 도구를 활용하는 것은 효과적인 선제 대응 수단이 될 수 있다. Criminal IP와 같은 CTI 플랫폼을 활용하면 다음과 같은 쿼리를 통해 외부 노출된 Docker API 포트를 식별할 수 있다.

Docker API 포트 노출된 자산 탐지 쿼리

Criminal IP Search Query: port:2375

https://www.criminalip.io/ko/asset/search?query=port%3A2375

Criminal IP Asset Search에서 ‘port: 2375’ 를 검색한 결과

Criminal IP 검색 결과, 전 세계적으로 104,149건 포트 2375를 외부에 개방하고 있었으며, 이 중 일부는 인증 없이 접근이 가능하고 Docker 컨테이너 정보까지 확인되는 심각한 보안 허점을 나타냈다. 우측 통계 그래프에 따르면 미국, 중국, 한국, 독일, 일본 등 다양한 국가의 인프라가 노출된 상태임을 알 수 있다.

해당 서버는 Criminal IP를 통해 탐지한 실제 노출 자산이다. 또한 Microsoft-IIS 8.5 기반의 Windows 환경에서 포트 2375를 열고 있으며, Docker REST API에 대해 HTTP 200 응답을 반환하고 있다.

즉, 인증 없이 외부에서 Docker 명령어를 호출할 수 있는 상태로, 다음과 같은 공격이 가능하다.

컨테이너 목록 확인
악성 컨테이너 생성 및 실행
시스템 내 lateral movement 수행
암호화폐 채굴 바이너리 삽입

공격자는 해당 포트로 접속 후, 악성 컨테이너를 만들어 내부에 ‘cloud’, ‘nginx’ 등의 채굴용 바이너리를 삽입한다. 감염된 컨테이너는 스스로 인터넷을 스캔하고 또 다른 컨테이너 환경을 찾아 감염시키는 자가 전파형 구조를 가질 수 있게 된다. 이 과정은 기존 보안 체계를 우회하며, 전통적인 명령제어(C2) 없이도 확산된다.

Docker API 포트 노출 예방

Docker API 포트 2375는 편의성 때문에 개발 및 테스트 환경에서 열어두는 경우가 많지만, 외부에 노출되면 심각한 보안 위협으로 이어질 수 있다. 다음과 같은 예방 수칙을 통해 보안 리스크를 사전에 방지해야 한다.

외부 접근 차단 – 포트 2375는 외부에서 접근하지 못하도록 방화벽이나 클라우드 보안 그룹을 통해 접근을 제한한다.
TLS 인증 및 암호화 적용 – Docker API 통신에는 TLS 인증서를 적용해 암호화된 통신을 강제하고, 서버와 클라이언트 간 상호 인증을 요구해야 한다.
자동화된 점검 및 CTI 도구 활용 – 포트 노출 여부를 정기적으로 점검하고, 이상 징후를 조기에 탐지하기 위해 Criminal IP와 같은 CTI 플랫폼을 활용한다.
불필요한 포트 비활성화 – 개발 또는 테스트 환경에서 사용하던 설정이 운영 환경에 그대로 반영되지 않도록 주의한다. 필요하지 않은 API 기능이나 포트는 비활성화하고, 최소 권한 원칙을 적용한다.

FAQ

Q1. 포트 2375가 열려 있으면 어떤 위험이 발생하나요?

포트 2375는 Docker 데몬이 REST API 통신을 위해 사용하는 기본 포트로, 인증 없이 외부에 개방될 경우 누구나 API를 호출해 컨테이너를 제어할 수 있게 된다. 이는 단순한 설정 실수를 넘어 심각한 보안 침해로 이어질 수 있다. 주요 위협은 다음과 같다.

무단 컨테이너 실행: 인증 없이 외부에서 컨테이너를 생성·삭제·조작할 수 있다.
악성 이미지 삽입: 공격자가 암호화폐 채굴 기능이 포함된 악성 컨테이너를 배포할 수 있다.
내부 정보 노출: Docker API 응답을 통해 컨테이너 목록, 이미지 정보, API 버전 등이 외부에 유출될 수 있다.
자가 전파형 감염 확산: 감염된 컨테이너가 네트워크를 탐색해 다른 컨테이너 환경에 악성코드를 전파할 수 있다.
리소스 고갈 및 시스템 불안정: 무분별한 요청으로 인해 CPU, 메모리 등의 자원이 고갈되고 서비스가 중단될 수 있다.

Q2. Docker API 포트 2375 노출을 방지하려면 어떻게 해야 하나요?

Docker API 포트 2375는 기본적으로 인증 없이 외부에서 접근할 수 있도록 설정되어 있어, 클라우드 환경에서는 반드시 별도의 보안 설정이 필요하다. 가장 먼저 외부 네트워크로부터 해당 포트에 접근하지 못하도록 방화벽이나 보안 그룹 설정을 적용해야 한다. Docker 데몬에는 TLS 인증서를 적용해 암호화된 통신을 강제하고, 인증되지 않은 요청을 차단하는 것이 바람직하다. 또한 Docker 소켓에 대한 접근 권한을 최소화하고, 운영에 필요하지 않은 API 기능은 비활성화해 공격 표면을 줄여야 한다. 무엇보다도 지속적인 점검이 중요하므로, Criminal IP와 같은 CTI 도구를 활용해 포트 노출 상태를 정기적으로 탐지하고, 이상 징후가 발견되면 즉시 대응할 수 있는 체계를 마련해야 한다.

결론

Docker API는 클라우드 기반의 자동화된 서비스 운영을 가능하게 하는 핵심 기술이지만, 포트 2375와 같은 설정 실수는 인증 없는 외부 접근을 허용하며 전체 인프라의 보안 취약점으로 이어질 수 있다. 최근에는 이를 악용한 암호화폐 채굴형 악성코드가 실질적으로 유포되고 있으며, 감염된 컨테이너가 자체적으로 악성코드를 확산시키는 등 위협은 더욱 정교해지고 있다. 단순한 포트 차단이나 방화벽 설정만으로는 한계가 있으므로, CTI와 ASM 기반의 공격 표면 탐지 도구를 통해 외부 노출 여부를 지속적으로 점검하고 이상 징후를 조기에 탐지하는 다계층 보안 전략이 필수적이다.

관련하여 SAP NetWeaver 취약점 CVE-2025-31324: 서버 하이재킹 및 원격 코드 실행 경고 글을 참고할 수 있다.

데이터 출처 : Criminal IP (https://www.criminalip.io/ko), Kaspersky (https://www.kaspersky.com/about/press-releases/kaspersky-uncovers-dero-crypto-miner-spreading-via-exposed-container-environments)

https://www.criminalip.io/ko/knowledge-hub/blog/28092