내용.

---

2026년 1분기 ASEC의 ASD 로그 분석 결과 MS-SQL 및 MySQL을 대상으로 한 공격이 지속적으로 관찰되었다. 공격 수량은 2월에 일시적 감소 후 3월에 다시 증가하는 경향을 보였다.

목적 및 범위.

---

본 보고서는 2026년 1분기 ASD 로그를 바탕으로 윈도우에 설치된 MS-SQL 서버 및 MySQL 서버를 표적화한 공격의 피해 현황과 사용된 악성코드 통계를 정리한 문서이다.

주요 통계.

---

• 2026년 1분기에는 MS-SQL 서버를 대상으로 하는 공격들 중에서 Larva-26002 공격자가 ICE Cloud 스캐너를 설치하는 사례가 확인되었다. Larva-26002 공격자는 과거 Trigona 랜섬웨어와 Mimic 랜섬웨어를 유포해 왔으며 이후에는 감염 시스템에 대한 제어를 탈취하고 스캐너를 설치하고 있다. 최근 확인된 공격에서는 Go 언어로 제작된 스캐너 악성코드 ICE Cloud Client가 사용되고 있다.
• 공격자는 이전 사례와 동일하게 부적절하게 관리되는 MS-SQL 서버를 공격하고 BCP를 악용해 악성코드를 생성하였다. 최종적으로 스캐너 악성코드를 설치하였다는 점도 동일한데 최근에는 Go 언어로 제작된 ICE Cloud라는 이름의 스캐너를 사용한다는 점이 차이점이다. ICE Cloud에서 사용된 문자열은 터키어인데 과거 Mimic 랜섬웨어 공격자 또한 터키어를 사용한 것으로 알려져 있다.

결론.

---

공격의 주요 기법은 부적절한 계정 관리로 인한 무차별 대입·사전 공격과 미패치·설정 오류의 악용이다. 권장사항으로는 계정 비밀번호를 추측하기 어려운 형태로 설정하고 주기적으로 변경해야 한다. 데이터베이스 서버는 최신 패치로 유지하고 외부 공개 서비스는 방화벽 등으로 접근을 통제해야 한다. 불필요한 확장기능과 원격 명령 실행 기능은 최소화하여 공격 표면을 줄여야 한다.

MD5

0a9f2e2ff98e9f19428da79680e80b77

28847cb6859b8239f59cbf2b8f194770

5200410ec674184707b731b697154522

7fbbf16256c7c89d952fee47b70ea759

89bf428b2d9214a66e2ea78623e8b5c9

URL

http[:]//109[.]205[.]211[.]13/api[.]exe

FQDN

hostroids[.]com