SQL인젝션 취약점 공격 계속 증가...개발자 보안의식 중요

 

잘못 만들어진 홈페이지는 DB와 연동되면서 다수의 고객정보가 빠져나가는 빌미를 제공하는가 하면 홈페이지 변조 등으로 기관이나 국가의 명예를 실추시킬 수도 있다. 최근 공공기관에 대한 홈페이지 공격도 위험 수위에 있는 상황이다.

홈페이지 공격사고의 주요 원인은 웹 애플리케이션 취약점을 이용한 것으로, 국내 공개 게시판인 제로보드 등 PHP 기반 애플리케이션의 보안 취약점과 윈도우 IIS 환경 하에 개발된 홈페이지에 존재하는 SQL인젝션 취약점을 이용한 것이 대부분이다.

지난 2004년 연말 이후 해외 주요 보안 사이트에 국내 웹 애플리케이션의 보안 취약점이 공개되면서 국외 해커들에 의한 국내 홈페이지 변조사고가 급속히 증가하고 최근 SQL인젝션이라고 불리는 공격방법에 의한 공격이 많이 이루어지고 있다고  KISA는 밝혔다. 

대부분 웹 개발자들은 홈페이지를 구축할 때 편의성과 효율성을 중요시하기 때문에 설계·구축시 정보보호를 고려하지 못하고 있는 실정이다.

한편 보안성이 고려되지 않은 홈페이지들은 일반적인 침입차단시스템에 의해 보호받지 못하고 있으며 그로인해 많은 해킹사고에 노출되고 있다. 크래커(해킹공격을 악의적으로 사용하는 자)에 의한 공격뿐만 아니라 모의해킹 시에도 주요 공격 대상이 되고 있으며 많은 취약점이 발견되는 곳이 홈페이지 서버다. 즉 많은 국내 사이트들이 웹사이트에 취약점을 가지고 있다는 것으로 볼 수 있다.

KISA 관계자는 “홈페이지 서버의 경우 이미 구축·운영되고 있는 서버에서 정보보호를 반영하기 위해서는 보다 많은 비용이 수반될 뿐만 아니라 해킹사고 발생으로 인해 서비스 장애로 인한 영업손실, 기업 이미지 실추, 고객 정보유출 등의 피해도 발생될 수 있다”고 경고했다.

또한 “국내 대다수 홈페이지의 운영환경이 MS IIS 웹 서버와 asp 스크립트 언어로 제작된 홈페이지를 대상으로 한 SQL인젝션 취약점 공격이 많이 시도되고 있다”며 “이를 고려해 홈페이지 제작시 정보보안에 대한 개발자들의 인식과 적용 기술이 반드시 필요하다”고 강조했다.

모 보안전문가는 “개발자들이 계속해서 보안성이 없는 홈페이지를 무책임하게 개발해 낸다면 앞으로 국내 홈페이지 공격은 계속해서 증가할 것”이라고 경고했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>