2026년 2분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
내용
AhnLab SEcurity intelligence Center(ASEC)은 2026년 2분기 윈도우에 설치된 MS-SQL 서버와 MySQL 서버를 대상으로 한 공격 로그를 분석했다. 이 보고서는 피해 현황과 공격 현황, 그리고 공격에 사용된 악성코드와 도구의 분류를 정리한다.
목적 및 범위
대상은 MS-SQL 서버와 MySQL 서버이다. 공격은 주로 보안 패치가 되지 않은 환경, 부적절한 설정, 부적절한 계정 관리 환경을 노린다. 보고서는 공격에 사용된 악성코드를 Trojan, HackTool, Backdoor, CoinMiner, Downloader 등으로 나누어 설명한다.
주요 통계
2026년 2분기에는 SoftEther VPN을 설치하는 국내 웹 서버 대상 공격 사례가 확인됐다. 공격자는 웹 서비스와 MS-SQL 서버를 함께 활용해 Discovery 명령을 실행하고, certutil과 curl, powershell을 이용해 SoftEther VPN 관련 파일을 내려받은 뒤, 최종적으로 MS-SQL 서버에 CLR SqlShell을 설치했다. 과거 2024년 사례와 유사하게 UseLogonCredential 레지스트리 키를 설정해 WDigest 평문 암호 저장 기능을 활성화한 정황도 확인됐다. 해당 SqlShell은 명령 실행, 페이로드 다운로드, BadPotato, EfsPotato를 이용한 권한 상승, 메모리 덤프, 사용자 계정 추가, 쉘코드 실행 기능을 지원한다.
결론
공격자는 취약하거나 관리가 부실한 데이터베이스 서버에 침투한 뒤 추가 악성코드 설치, 권한 상승, 원격 제어, 자원 채굴, 측면 이동을 시도했다. 보고서는 계정 비밀번호 관리 강화, 최신 패치 적용, 외부 공개 서버에 대한 접근 통제를 통해 이러한 공격을 줄여야 한다고 정리한다.