![[부고] 김성배(뉴스웨이 건설부동산 부장)씨 부친상](/common/img/logo_no_icon.png){kind=icon}
- 텍스트 축소
- 확대
뽐뿌 사고주범 ‘SQL인젝션’…해커 따라 파급력 ‘천지차이’
- 송고 2017.05.24 00:01 | 수정 2017.05.23 17:09
- 김언한 기자 (unhankim@ebn.co.kr)
웹 공격에 가장 보편적 기법 활용돼
공격 성공 시 대량 정보 취득
ⓒ펜타시큐리티 블로그 캡쳐
'뽐뿌', '여기어때'의 개인정보유출사고 주범으로 유명세를 탄 'SQL인젝션' 공격이 영향력을 확대하고 있어 기업의 대책이 요구된다.
초보해커들의 진입이 쉽고 해커의 응용수준에 따라 대규모 보안사고를 초래할 수 있어 공격자들이 선호하는 기법으로 부상했다.
24일 펜타시큐리티의 ‘웹 공격 동향 보고서’에 따르면, 지난해 웹 공격 중 SQL인젝션 공격은 전체 공격의 45%를 차지해 가장 일반적인 기법이 됐다.
SQL인젝션은 웹사이트 취약점을 찾아 데이터베이스(DB)를 관리하는 SQL명령어에 악성코드를 삽입하는 형태로 행해지는 웹 해킹 공격 중 하나다. 개발자가 의도하지 않은 SQL 명령을 실행해 DB를 비정상적으로 조작한다. 개발자 모르게 DB에 저장한 정보를 유출할 수 있다.
ⓒ펜타시큐리티
고전적인 해킹기법 중 하나로 알려졌지만 해커의 응용력에 따라 파급력은 천지차이다. 보안조치는 했지만 SQL인젝션 공격으로 뚫린 기업을 단순히 비난만할 수는 없다는 게 전문가들의 중론이다.
최상명 하우리 침해사고대응팀(CERT) 센터장은 "대기업 웹서버라고 해도 DB를 사용하기에 해킹 실력자의 경우 SQL인젝션으로 이를 뚫는 게 가능해진다"며 "기업이 여러 보안조치를 시행하지만 해커는 이를 알고 우회해 공격하기에 방어가 어렵다"고 말했다.
아이디·패스워드 창에 SQL 명령어를 입력한 후 웹사이트에 침투하는 것으로 알려졌지만 이는 가장 초보적인 수법이다. 해커는 DB와 연결돼있는 모든 부분의 취약점을 테스트한 뒤 공격 쿼리를 작성한다.
최 센터장은 "SQL인젝션은 매년 새로운 기법이 등장하고 있다"며 "새로운 기법이 높은 수준의 해커에게 응용될 때는 뚫리지 않는 사이트는 없다. 해킹 고수들과 초보들의 기법은 천지차이"라고 설명했다.
SQL인젝션 공격의 자동화툴은 온라인상에서 쉽게 거래되고 있는 실정이다. 타공격에 비해 공격에 요구되는 비용이 낮음에도 불구하고 성공 시 공격자가 대량의 정보를 취득할 수 있는 위험이 있다.
SQL 공격 방법.ⓒ안랩 블로그
일반적인 예방조치는 동적 SQL을 사용하지 않거나 웹사이트 설계에서부터 입력값 검증 절차를 잘 구축하는 등의 방법이다. 근본적인 대응법은 시큐어 코딩을 통한 안전한 설계 및 구현이지만 웹 취약점 점검과 웹 방화벽을 사용하는 것도 권고된다.
온라인 커뮤니티 뽐뿌는 이 공격으로 회원 195만명의 아이디, 비밀번호, 개인정보가 유출됐다. 방송통신위원회는 개인정보보호의 기술적 조치 및 관리미흡을 사유로 1억200만원의 과징금과 1500만원의 과태료 및 재발방지 대책을 시행토록 시정명령을 부과했다.
SQL인젝션 공격의 경우 디도스(DDos)나 디페이스 공격과 달리 해커가 정보를 탈취한 사실을 공개하기 전까지 피해 확인이 어렵다는 사실도 기업 대응의 어려움으로 지적된다. 지난 3월 중국 해킹그룹 홍커연맹 커뮤니티에는 이 기법으로 우리나라를 공격하자며 동참자를 모집하는 글이 올라오기도 했다.
김덕수 펜타시큐리티 기획실장 전무는 “모든 것이 인터넷으로 연결되어 있는 시대에 웹보안 조치는 필수적”이라고 말했다.
©(주) EBN 무단전재 및 재배포 금지
관련기사
전체 댓글 0
베스트 클릭
이슈종합
오피니언
시황
코스피
코스닥
환율
KOSPI 2,591.86 ▼ 42.84(-1.63)
코인시세
인사/부고/동정
서울미디어홀딩스
패밀리미디어 실시간 뉴스
