“SQL인젝션·교차스크립팅, 웹 공격 4분의 3 차지”

지난해 발생한 웹 공격 사례 4건 중 3건이 ‘SQL인젝션’과 ‘크로스사이트스크립팅(xss)’ 기법으로 수행됐다는 조사 결과가 나왔다. 두 공격은 조직의 내부 정보 유출을 유도해 더 큰 피해를 야기할 수 있는 기법이라 주의가 요구된다.

 

정보보안 전문업체 펜타시큐리티시스템(대표 이석우)은 이런 내용을 담은 2016년도 ‘웹 공격 동향(WATT) 보고서’를 22일 공개했다. 보고서는 보안 관리자를 위한 웹 공격 유형, 산업별 공격 동향, 국가별 동향 등 분석 결과를 제시하고 있어 해커 공격에 대비하게 했다. 보고서는 지난 2010년부터 발표됐다. 회사의 웹방화벽 ‘와플(WAPPLES)’ 제품으로 수집된 실제 데이터를 기반으로 작성됐다. 제품 사용 고객들이 수집에 동의한 탐지 로그를 펜타시큐리티 인텔리전스커스터머서포트(ICS) 시스템으로 분석한 결과를 담고 있다.

 

펜타시큐리티 2016 웹 공격 동향 보고서에 포함된 웹 공격 기법 별 비중.

펜타시큐리티 2016 웹 공격 동향 보고서에 포함된 웹 공격 기법 별 비중.

 

 

보고서에 따르면 2016년 발생한 전체 웹 공격 사례 중 SQL인젝션과 xss 기법을 합한 비중이 75%를 기록했고 나머지는 25%를 파일업로드, 경로순회(directory traversal), 은닉명령(stealth commanding)이 차지했다.

 

SQL인젝션은 웹애플리케이션 허점을 악용해 거기 연결된 데이터베이스를 조작하는 공격이다. 개발자가 예측하지 못한 형태로 데이터베이스 질의언어 SQL을 실행되게 만드는 방식이다. 지난해 웹 공격 동향에서 이 SQL인젝션 공격이 45% 비중을 차지했다. xss는 웹페이지에 악성코드를 삽입하는 공격이다. 공격자가 악성코드를 심은 웹페이지에 접속한 다른 이용자의 브라우저에서 악성코드가 실행돼 의도된 피해를 입게 만드는 방식이다. 지난해 웹 공격 동향에서 이 xss 공격이 30% 비중을 차지했다. 펜타시큐리티 측은 “SQL인젝션과 xss 공격 모두 단 한 번으로 내부 정보 유출이 가능하며, 이를 통해 심각한 수준의 위협으로 이어지기 때문에 사용자의 각별한 주의를 필요로 한다”고 지적했다.

 

전체적인 비중은 SQL인젝션과 xss공격이 많았지만 산업별로는 차이를 보인다. 운송업, 제조 및 건설업종은 SQL인젝션 공격 비중이 컸다. 커뮤니티 등 개인 및 단체 사설 사이트는 xss 공격이 주를 이뤘다. 금융 및 교육업종은 악성코드를 올려 시스템 권한을 얻는 ‘파일업로드’ 공격이 과반을 차지했다. 펜타시큐리티 측은 “커뮤니티같은 사설단체는 개인정보를 다루면서 상대적으로 보안 조치가 제대로 이뤄지지 않아 해커들의 표적이 되는 경우가 많다”며 “각 산업별 공격 동향에 맞는 보안 대책을 수립해야 해킹 피해를 효과적으로 막을 수 있다”고 조언했다.

 

펜타시큐리티 기획실장 김덕수 전무는 “과거 보고서는 와플 운영과 관련된 기술을 주로 다뤘는데 올해부터 보안 정책 수립 과정에 필요한 정보를 담아 보안 관리에 도움이 되도록 업그레이드했다”며 “중요한 정보를 공유한 기관과 단체가 웹해킹 공격에 효과적으로 대응하는 데 도움이 되길 바란다”고 말했다.

 

[기사 원문보기  ZDNet KOrea –  goo.gl/2B1ZRV]