2025년 1분기 MS-SQL 대상 악성코드 통계 보고서

개요

ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다. 악성코드들은 CoinMiner, Backdoor, Trojan, Ransomware, HackTool과 같은 유형 별로 분류한 후, 각 유형에 대해서도 알려진 악성코드들에 대해서는 구체적인 통계를 함께 제공한다.

 

통계

1. MS-SQL 서버 대상 공격 현황

다음은 2025년 1분기에 자사 ASD 로그를 통해 확인된 MS-SQL 서버 대상 공격에 대한 통계이다.

[그림 1] 2025년 1분기 MS-SQL 서버 대상 공격 현황

 

“피해 현황” 항목은 악성코드 또는 공격자에 의해 공격 대상이 된 시스템들의 수량으로서, MS-SQL 서버에 대한 제어 획득 후 악성코드가 설치된 이력이 확인되는 시스템이다. 서버를 대상으로 하는 공격은 주로 보안 패치가 되지 않은 환경에 대한 취약점 공격이나, 부적절하게 설정되어 있는 환경에 대한 공격 그리고 부적절하게 관리되고 있는 서버에 대한 공격이 있을 수 있다. 부적절하게 관리되고 있는 환경이라고 한다면 대표적으로 무차별 대입 공격이나 사전 공격에 취약한 계정 정보를 사용 중인 환경일 것이다. 만약 부적절하게 관리되고 있는 시스템에 관리자 계정으로 로그인에 성공하였다면 악성코드 또는 공격자는 해당 시스템에 대한 제어를 획득할 수 있다.

 

“공격 현황” 항목은 악성코드 또는 공격자가 해당 시스템을 대상으로 수행한 공격 횟수이다. 참고로 이러한 취약한 MS-SQL 서버는 일반적으로 다수의 공격자들 및 악성코드들로부터 공격 대상이 되기 때문에 다양한 악성코드들의 감염 로그들이 동시에 확인되는 경향이 있다.