개요.

---

ASEC은 허니팟 로그를 기반으로 2026년 1분기 리눅스 SSH 서버 대상 공격 통계를 분석하였다. P2PInfect 웜이 전체 공격지의 70.3%를 차지하여 대부분을 점유하였으며 Mirai, XMRig, Prometei 등 DDoS 봇과 코인마이너가 주요 위협으로 확인됐다.

목적 및 범위.

---

보고서는 2026년 1분기 확인된 로그를 통해 피해 현황과 공격 횟수, 악성코드 분류 통계를 정리하는 것을 목적으로 한다.

주요 통계.

---

• 2026년 1분기에는 리눅스 서버를 공격해 V2Ray라는 도구를 설치하는 사례가 확인되었다. 이를 제외한 다른 공격 로그가 존재하지 않는 것을 보면 공격자의 목적은 감염 시스템을 프록시 노드로서 활용하기 위한 것으로 보인다.
• 공격자에 대한 정보는 알 수 없지만 공격에 사용된 도구 및 플랫폼을 보면 중국어 사용자로 추정된다.
• 공격자는 SSH 서비스를 스캐닝한 후 허니팟 리눅스 서버에 로그인을 시도하였으며 이후 명령들을 실행해 네트워크 정보 및 현재 디렉터리 내의 파일들, 메모리 사용량, 디스크 사용량 정보를 조회하였다.
• 최종적으로 감염 시스템을 프록시로 활용하기 위해 V2Ray를 설치하였다. V2Ray는 프록시나 터널링, 우회 접속을 목적으로 사용되는 도구로서 VMess, VLESS, Trojan, Shadowsocks와 같은 프로토콜을 지원한다.
• 공격자가 실행한 명령들만으로 구체적인 목적을 파악하는데 한계가 존재하지만 적어도 부적절하게 관리되고 있는 SSH 서버를 프록시 노드로서 활용하기 위한 것이 목적 중 하나였던 것으로 보인다.

예방 및 진단 정보.

---

계정 비밀번호는 추측이 어려운 형태로 설정하고 주기적으로 변경해야 한다. SSH 접근은 외부 공개를 최소화하고 포트 변경, 키 기반 인증 도입, 방화벽 및 접속 제어로 제한해야 한다.
시스템은 최신 보안 패치로 유지하고 불필요한 서비스는 비활성화해야 한다. 네트워크에서는 비정상적인 아웃바운드 연결, Netcat 리슨 포트, V2Ray 관련 프로세스실행 흔적을 탐지하고 로그 기반 모니터링을 강화해야 한다. 허니팟 및 위협 인텔리전스(예: AhnLab TIP)를 활용해 공격지 정보를 수집·연계하면 조기 탐지에 유용하다.

MD5

bc72ff889e2b2a92834d5d88a97236e5

IP

149[.]104[.]29[.]165