2026년 2분기 리눅스 SSH 서버 대상 악성코드 통계 보고서
내용
2026년 2분기 AhnLab SEcurity intelligence Center(ASEC)은 허니팟을 통해 부적절하게 관리되는 리눅스 SSH 서버를 대상으로 한 공격 로그를 수집하고 분석했다. 분석 범위는 실제 악성코드 설치 명령까지 수행된 공격지와 그 공격에 사용된 악성코드 통계이다.
목적 및 범위
이 보고서는 리눅스 SSH 서버를 겨냥한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)의 현황, 공격에 사용된 악성코드 분류, 그리고 실제 공격 사례를 정리한다. 공격 유형은 주로 Worm, 코인 마이너, DDoS 봇, 백도어, 기타로 나뉘었다.
주요 통계
2026년 2분기에는 Go 언어로 만든 다운로더와 전파 악성코드를 사용해 XMRig를 설치한 사례가 확인되었다. 로그인 성공 후 run이 내려받아졌고, 이어 pack.jpg에서 mysql(XMRig), meta(전파 악성코드)가 실행되었다. meta는 SSH 포트를 스캐닝하고 ranges와 pass 파일의 정보를 이용해 추가 감염을 시도했다.
별도로 .b0t 이름의 ShellBot 유포가 확인되었고, MIG LogCleaner도 함께 사용되었다. auto.jpg 압축 파일에서는 Shc(Shell Script Compiler)로 제작된 스크립트, XHide, XMRig가 확인되었다. XHide는 프로세스 이름을 위장하는 도구이며, Discord는 공격자가 제작한 XMRig 실행본이다.
결론
리눅스 SSH 서버는 취약한 계정 정보와 미패치 취약점 때문에 지속적으로 공격 대상이 되고 있다. 보고서는 강력한 비밀번호 사용, 주기적 변경, 최신 패치 적용, 방화벽 등 보안 제품을 통한 접근 통제를 권고했다. ASEC는 허니팟으로 공격지 주소를 실시간 수집하며, 확인된 공격지 정보는 AhnLab TIP를 통해 제공 중이다.