북한 연계 조직 슬로우파이시스, 가상화폐 거래소의 쿠버네티스 클러스터 장악
사고의 핵심은 단순한 기술적 오류 아닌, 관리자의 방만함이 부른 ‘보안 경계의 해이’

[보안뉴스 김형근 기자] 쿠버네티스(Kubernetes)의 설정 오류를 악용해 컨테이너를 탈출하고 클라우드 계정 권한을 통째로 훔쳐 가는 공격이 급증하고 있어 사용자들의 주의가 요구된다.


[출처: gettyimagesbank]

글로벌 보안 기업 팔로알토 네트웍스의 위협 조사 기관인 유닛 42가 발표한 ‘2025~2026 클라우드 위협 보고서’에 따르면 지난 1년간 쿠버네티스 관련 위협은 282% 폭증했다. 특히 IT 분야 기업이 전체 공격 대상의 78%를 차지해 가장 심각한 타격을 입었다.

해커는 단순한 컨테이너 탈출을 넘어, 권한이 과도하게 설정된 서비스 계정 토큰을 탈취해 클라우드 핵심 인프라로 파고들었다.

북한 정찰총국 연계 조직인 ‘슬로우파이시스’(Slow Pisces)는 스피어피싱으로 확보한 권한을 통해 가상화폐 거래소의 쿠버네티스 클러스터를 장악했다. 이들은 탈취한 JWT(JSON Web Token)를 사용해 API 서버에 인증한 뒤, 운영 환경의 워크로드를 조작하고 백도어를 심어 자금을 탈취했다.

또한 2025년 12월에 발견된 리액트 서버 컴포넌트의 ‘리액트투셸’(React2Shell) 취약점은 공개 단 이틀 만에 클라우드 침투를 위한 무기로 돌변했다. 해커는 이 취약점을 통해 환경 변수에 저장된 클라우드 인증 정보를 수집했으며, 또한 이를 발판 삼아 클라우드 계정에 암호화폐 채굴기를 설치했다.

그들은 ‘페이레이츠’(Peirates)와 같은 전문 도구를 활용해, 탈취한 권한으로 서버 내부의 기밀을 낱낱이 파헤치고 보안 경계선을 무너뜨리며 시스템 전체를 짓밟았다.

이번 사고의 핵심은 단순한 기술적 오류가 아니라, 관리자의 방만함이 부른 ‘보안 경계의 해이’에 있다. 과도한 권한 설정은 쿠버네티스 보안을 뿌리째 흔드는 가장 중대한 설정 오류다. 관리 편의를 위해 남발한 광범위한 권한은 해커가 컨테이너를 탈출해 클라우드 전체를 무자비하게 유린할 수 있는 고속도로를 깔아주는 격이며, 이는 곧 시스템 전체의 붕괴로 직결된다.

기업의 보안 팀은 과도한 권한 부여를 차단하는 역할기반접근제어(RBAC) 정책을 수립하고, 유효 기간이 짧은 토큰 사용을 강제해야 한다. 또한 비정상적인 프로세스 실행과 API 남용을 실시간으로 감시하는 행위 기반 모니터링 체계를 구축하는 것이 클라우드 자산을 지키는 열쇠라 할 수 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>