솔루션

여기어때에도 쓰인 SQL 인젝션, 지난해 최다 웹공격 수단 등극

최민지

[디지털데일리 최민지기자] ‘여기어때’ 고객정보 유출에 사용된 SQL 인젝션이 지난해 가장 많이 사용된 웹 공격 수단으로 나타났다.

펜타시큐리티시스템(www.pentasecurity.co.kr 대표이사·사장 이석우)은 ‘웹 애플리케이션 위협 트렌드(WATT) 보고서’를 통해 최신 공격 동향을 분석했다. 이 보고서에 따르면 SQL 인젝션 공격은 지난해 탐지된 웹 애플리케이션 공격의 45%를 차지했다.

SQL 인젝션은 클라이언트 입력 값을 조작해 개발자가 의도치 않은 SQL문을 실행함으로써 데이터베이스를 공격할 수 있는 기법이다. 가장 흔한 공격이지만, 대량의 정보유출을 발생시킬 수 있다. 또, 단순히 정보를 탈취하는 것뿐 아니라 탈취한 정보를 악용한 2차 범죄행위로 이어질 수 있다.

국내에서는 지난 2015년 온라인 커뮤니티 ‘뽐뿌’에서 SQL 인젝션 공격으로 회원 195만명의 ID와 비밀번호, 개인정보가 유출됐다. 지난 3월 여기어때를 운영하는 위드이노베이션도 SQL 인젝션 공격으로 고객정보 99만여건이 유출됐다.

SQL 인젝션 공격 자동화 툴은 온라인상에서도 쉽게 찾을 수 있을 만큼, 다른 공격에 비해 투입되는 비용이 낮다. 그럼에도 공격에 성공하면 대량의 정보를 취득 가능하다.

이 보고서에 따르면 SQL 인젝션 공격은 운수업, 제조·건설업, 여가·요식업 부문에서 높은 비율을 차지하고 있다. 이들 산업의 웹사이트들은 고객정보를 많이 다루기 때문에 웹사이트와 연결된 데이터를 탈취하려는 시도가 많은 것이다.

김덕수 펜타시큐리티 전무는 “SQL 인젝션 공격은 데이터 조회뿐 아니라 데이터베이스(DB)에 계정도 만들고 DB를 지우거나 관리자 권한도 획득 가능하다”며 “이 공격을 근본적으로 방어하려면 주기적인 웹 취약점 점검과 웹방화벽을 도입해 보다 명확한 신뢰를 유지해야 한다”고 말했다.

SQL 인젝션을 이어 가장 많이 탐지된 공격기법은 크로스사이트스크립팅이다. 이 공격은 SQL 인젝션과 마찬가지로 웹 애플리케이션을 노린다.

크로스사이트스크립팅 공격은 게시판, 웹메일 등에 삽입된 악의적 스크립트를 통해 사용자가 원하지 않는 동작을 수행하게 한다. 공격 서공 때 악성코드 다운로드 등 공격자가 의도한 행위를 수행하도록 하며 2차적 피해로 아이디와 패스워드도 유출될 수 있다.

이 공격은 연구·개발업, 소셜·커뮤니티 산업 분야에서 주로 나타난다. 해당 산업에서의 웹사이트들은 엄격하게 관리되지 않는 경우가 많다. 이에 웹 브라우저 취약점을 이용해 개인 PC와 단말기를 노리거나, 다른 웹사이트에 대한 공격 시도를 지시한다. 한국에서 출발한 공격 중 40%로 가장 큰 비율을 차지한 공격이기도 하다.

김 전무는 “크로스사이트스크립팅은 덫을 놓고, 이에 걸린 이용자 PC에 행동을 취하게 하는 공격”라며 “스크립트를 올리도록 허용하거나 보안에 투자를 잘 하지 않는 게시판, 엄격한 보안규정으로 관리하지 않는 웹사이트들이 주로 공격 대상이 된다”고 설명했다.

이어 “이 공격은 외부로부터 접근될 수 있는 입력들을 제대로 검증하거나 웹 방화벽의 부정 접근, 위변조 방지 기능을 통해 대응할 수 있다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널