웹 애플리케이션 취약점에 대해 필터링 등 대응책 마련해야

디지털인사이트코리아 주최, 안철수연구소·A3시큐리티·에이콘출판사 후원으로 22일  포스틸타워에서 개최된 ‘정보 보안 트렌드 세미나 2009’에서는 이범석 A3시큐리티 지식사업팀장이 ‘최신 웹 해킹 사례 분석 및 2009년 전망’이란 주제로 강연을 펼쳤다. 이날 강연 내용을 다음과 같이 소개한다.

이날 이범석 팀장은 ‘웹 애플리케이션 해킹 동향’ 및 ‘웹 애플리케이션 취약점’을  발표한 후 올해 발생 가능한 해킹에 대해 전망했다.

우선 이 팀장은 웹 애플리케이션 해킹 동향에 대해 ▲ 라이프 스타일 변화에 따른 웹 사이트 이용 급증 ▲ 취약한 사이트 무차별 해킹 ▲ 정치·사회에 대한 저항에 따른 해킹 ▲ 금전적 목적 등의 해킹이 발생했다고 발표했다.

또한 이 팀장은 “이러한 일련의 해킹은 웹 애플리케이션의 취약점이 존재하기 때문이다. 하지만 실제로 이러한 취약점을 보안제품들이 100% 막을 수 없는 것이 사실이다”며, “지키는 열 사람이 도둑 한 명을 잡기는 힘들다”며, 보안솔루션의 한계를 지적하는 한편 “각 웹 애플리케이션 취약점에 대한 필터링 등의 대응이 필요하다.  예를 들어, 파일 업로드 시 발생 가능한 취약점에 대해 업로드가 불가능한 확장자 보다는 가능한 확장자를 체크 하는 것이 안전하며, 업로드 파일의 저장장소 및 네이밍 규칙을 확립하는 등의 대응책을 마련하는 것이 필요하다”고 강조했다. 아울러 이 팀장은 SQL 인젝션·XSS 공격 등에 대한 개요 및 그에 따른 대응방법을 발표했다.

한편 이 팀장은 이날 강연을 통해, 올해 발생 가능한 해킹에 대해 ▲ 산업기밀 및 개인정보 유출을 위한 불법행위 지속 ▲ 금전적 이득을 위한 공격 패턴의 다양화 ▲ 보편화 되어가는 서비스에 대한 공격 ▲ 소셜 네트워크 사이트 공격 위협 ▲ 알려지지 않은 취약점에 대한 공격 증가 등으로 전망했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>