2025년 1분기 윈도우 웹 서버 대상 악성코드 통계 보고서

개요

AhnLab SEcurity intelligence Center (ASEC)에서는 자사 AhnLab Smart Defense(ASD) 인프라를 활용하여 부적절하게 관리되고 있는 윈도우 웹 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 이 글에서는 이 글에서는 2025년 1분기에 확인된 로그를 기반으로 공격 대상이 된 윈도우 웹 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.

 

통계

1. 윈도우 웹 서버 대상 공격 현황

다음은 2025년 1분기에 자사 ASD 로그를 통해 확인된 윈도우 웹 서버 대상 공격에 대한 통계이다.

 

[그림 1] 2025년 1분기 윈도우 웹 서버 대상 공격 현황

 

‘피해 현황’ 항목은 악성코드 또는 공격자에 의해 공격 대상이 된 시스템들의 수로, 공격자가 윈도우 웹 서버에 대한 제어 획득 후 악성코드가 설치된 이력이 확인되는 시스템이다. 여기에서 다루는 윈도우 웹 서버는 윈도우 환경에 설치된 Internet Information Services(IIS) 웹 서버와 아파치 톰캣 웹 서버를 말한다. 웹 서버를 대상으로 하는 공격은 주로 보안 패치가 되지 않은 환경에 대한 취약점 공격이나, 부적절하게 설정된 환경에 대한 공격이나, 부적절하게 관리되는 서버에 대한 공격이 있다.

 

일반적으로 웹 서버를 공격하는 공격자들은 파일 업로드 취약점을 이용해 웹쉘을 업로드하여 명령을 실행하는 방식이 자주 사용된다. 하지만 이외에도 웹 개발 프레임워크 자체의 취약점 또는 Web Application Server(WAS)의 취약점을 이용하여 웹쉘을 업로드할 수 있다. 물론 파일 업로드 방식 대신 원격 코드 실행 취약점을 이용해 직접 명령을 실행할 수도 있다.

 

‘공격 현황’ 항목은 악성코드 또는 공격자가 해당 시스템을 대상으로 수행한 공격 횟수이다. 참고로 이렇게 공격에 취약한 윈도우 웹 서버는 일반적으로 다수의 공격자들 및 악성코드들로부터 공격 대상이 되기 때문에 다양한 악성코드의 감염 로그가 동시에 확인되는 경향이 있다.