아이뉴스24 뉴스
아이뉴스24 홈 오피니언 프리미엄 엠톡 콘퍼런스
연예.스포츠 포토.TV 게임 스페셜
뉴스 홈 IT정책 컴퓨팅 통신미디어 과학 글로벌 디지털기기 기업 자동차 금융 유통 경제일반 게임 정치 사회 문화 생활
Home > 뉴스 > 시큐리티 핫이슈
[톱뉴스]
여기어때 노린 'SQL 인젝션' 공격, 지난해 '기승'
웹 취약점 점검·웹 방화벽 도입 필요…산업별 웹 공격 대응방안 마련해..
2017년 05월 20일 오전 11:16
  • 페이스북
  • 0
  • 트위터
  • 0
  • 구글플러스
  • 0
  • 핀터케스트
  • 0
  • 글자크게보기
  • 글자작게보기
  • 메일보내기
  • 프린터하기
[아이뉴스24 성지은기자] "지난해 웹 공격 중 'SQL 인젝션(Injection)' 공격이 가장 많은 것으로 나타났습니다. 이 공격은 성공할 경우 내부 정보 유출이 심각한 수준이기 때문에 각별한 주의가 요구됩니다."

펜타시큐리티시스템(이하 펜타시큐리티)은 최근 발간한 '웹 애플리케이션 위협 트렌드(WATT) 보고서'에 이같은 내용을 담아 발표했다.

펜타시큐리티는 전 세계에 판매된 웹 방화벽 제품(WAPPLES) 중 고객이 수집을 동의한 1천200여대 제품에서 지난 한 해 동안 데이터를 수집했으며, 이를 분석해 WATT 보고서를 발간했다.

보고서에 따르면, 지난해 웹 공격의 절반(45%) 가량이 SQL 인젝션인 것으로 탐지됐다. SQL 인젝션은 웹사이트 취약점을 찾아 SQL 질의문을 삽입하고, 웹서버 데이터베이스(DB) 정보를 열람해 내부 정보를 유출하거나 DB 사용자 권한을 탈취하는 공격법이다.



SQL은 DB를 만들고 유지하는 데 사용하는 프로그래밍 언어의 일종인데, SQL을 이용하면 데이터를 정의·조작·제어할 수 있다.

지난 3월 숙박 앱 서비스 '여기어때'가 해킹을 당해 개인정보 99만건이 유출됐는데, 공격자는 SQL 인젝션 공격을 사용했다.

SQL 인젝션 공격은 개인정보가 유출된다는 점에서도 위험하지만, 탈취된 정보를 악용한 2차 범죄 행위로 이어질 수 있어 단순 정보 탈취 이상의 위험이 있다.

이에 펜타시큐리티는 SQL 인젝션 공격을 방어하는 방법으로 ▲동적 SQL을 사용하지 않는 방법 ▲웹사이트 설계에서부터 입력 값 검증 절차를 제대로 구축하는 방법 ▲DB 에러 메시지를 노출하지 않는 방법을 제안했다.

또한 ▲시큐어코딩(Secure Coding)을 통한 안전한 설계 구현 ▲주기적인 웹 취약점 점검과 웹 방화벽 도입 등이 필요하다고 조언했다.

이와 함께 산업별 웹 공격 대응방안을 제시했다. 펜타시큐리티의 조사 결과, 산업별 웹 공격이 상이하게 집계됐다. 보고서에 따르면, 운수업, 제조·건설업, 여가·요식업의 경우 SQL 인젝션이 가장 많이 나타났다.



연구·개발업, 소셜·커뮤니티 산업 분야는 크로스 사이트 스크립팅(Cross Site Scripting) 공격이 높은 비율을 차지했으며, 금융업, 교육업의 경우 파일 업로드(File Upload) 공격이 평균에 비해 높게 탐지됐다.

크로스 사이트 스크립팅 공격은 실행 가능한 악성코드를 웹 페이지에 삽입하고, 일반 사용자가 악성코드가 삽입된 웹 페이지를 보게 함으로써 사용자 기기를 악성코드에 감염시키는 공격 방법이다.

파일 업로드 공격은 악성 파일을 업로드해 서버 시스템 권한을 얻거나, 웹사이트에 접속한 사용자의 PC 또는 단말기에 악성 파일을 배포하는 공격 방법이다.

김덕수 펜타시큐리티 전무는 "운수업, 제조·건설업, 여가·요식업의 경우, 이들 산업의 웹사이트들이 고객 정보를 많이 다루고 있어 웹사이트와 연결된 DB 데이터를 탈취하려는 시도가 많은 것으로 해석된다'며 "고객 정보보호에 각별히 주의를 기울여야 한다"고 말했다.

이어 "연구·개발업, 소셜·커뮤니티 산업은 웹사이트가 엄격히 관리되지 않는 경우가 많아, 웹사이트에 접속하는 개인 PC와 단말기를 목표로 크로스 사이트 스크립팅 공격이 많은 거 같다"며 "해당 산업의 웹사이트에 접속하는 사용자들은 자신의 PC와 단말기 보호에 각별의 유의해야 한다"고 조언했다.

또한 "금융업, 교육업의 경우, 파일 업로드 공격이 많았다"며 "악성 파일은 업로드 이후에 발생하는 일들이 치명적인 피해를 유발하기 때문에 해당 웹사이트 운영자, 보안 담당자는 각별한 주의를 기울이고 관리 체계를 정비해야 한다"고 덧붙였다.

성지은기자 buildcastle@inews24.com

주요기사

IT는 아이뉴스24, 연예ㆍ스포츠는 조이뉴스24(Copyright ⓒ 아이뉴스24. 무단전재 및 재배포 금지)
IT정책 컴퓨팅 통신·미디어 과학 글로벌 디지털기기 기업 자동차 금융 유통 경제일반 게임 정치 사회 문화 생활
오늘의 주요 뉴스 l IT·시사 l 연예·스포츠 l 게임 l 오피니언
뉴스 전체 최신뉴스
현대重 , 가상 시뮬레이션 검증시설 구축…업계..
김해영 "전국 해수욕장 중 18%만 점검·보고"
증시 호조 속 상장사 유·무상증자 증가
금융위, 위원장 직속 조직혁신기획단 TF 가동
가장 많이 본 뉴스
IT 시사 문화 연예 스포츠 게임 칼럼
  • 아이뉴스24의 뉴스를 이메일로 받아보세요.

브랜드웹툰홈바로가기
카드뉴스 더보기 >

SPONSORED

칼럼/연재
[김문기] 일본 매체들은 왜 SK하이닉..
[이영웅] 추경 대신 휴가 걱정하는..
[윤지혜]편집숍 열풍 속 모험 꺼리는..
[성지은]국내 SW천억클럽, 아쉬운 세..
[김이율의 포스트홀릭] 빈둥대기
프리미엄/정보
건물안 지도전쟁…승자는?
애플 성장돌파구 찾기 해법은 'AR 글래..

오늘 내가 읽은 뉴스

 

2018 평창