2026년 2분기 윈도우 웹 서버 대상 악성코드 통계 보고서
내용
2026년 2분기 AhnLab SEcurity intelligence Center(ASEC)은 부적절하게 관리되는 Windows 웹 서버에 대한 공격 현황과 악성코드 분류를 정리했다. 대상은 Windows 환경의 Internet Information Services(IIS) 웹 서버와 Apache Tomcat 웹 서버이다.
목적 및 범위
이 보고서는 2026년 2분기에 확인된 Windows 웹 서버 대상 공격의 피해 현황, 공격 횟수, 사용된 악성코드 분류, 웹쉘 통계, 실제 공격 사례를 요약한다. 웹쉘은 별도로 제외하고 악성코드 유형을 분류했다.
주요 통계
2026년 2분기 Windows 웹 서버 공격은 웹쉘 업로드를 출발점으로 삼아 권한 상승, 내부 정찰, 측면 이동, 원격 제어, 코인 채굴, VPN 설치로 이어지는 양상을 보였다. 실제 사례로는 UAT-8099 추정 공격자가 LockBit 3.0 랜섬웨어를 사용한 정황이 확인됐으며, 웹쉘 업로드 후 Potato, AnyDesk, GotoHTTP, LCX, NPS 클라이언트(npc.exe), BadIIS를 사용해 제어와 SEO 조작을 시도한 것으로 나타났다.
결론
윈도우 웹 서버 공격은 파일 업로드 취약점, 웹 프레임워크·WAS 취약점, 또는 패치 미적용 서비스의 RCE를 통해 시작되는 경향이 있다.
웹쉘은 침투의 주요 수단으로 활용되며 권한 상승과 프록시 도구를 결합해 내부 네트워크 장악과 RDP 기반 원격 제어로 이어진다.
보고서는 알려진 취약점 패치, 방화벽 등 접속 통제 강화, 백신(V3) 최신화 등을 권고하고 있다.