문제는 사이버 악동들이 내 사이트를 마치 자신의 집 안방에 드나들 듯 하지만, 정작 당사자들은 그런 사실을 알지 못한다는 점이다.

이에 전문가들은 웹 해킹에 대한 경각심을 가져야 하며, 각종 해킹방법을 조사한 다음 평소에 관련 보안대책을 마련해놓고 있어야 한다고 조언한다.

그렇다면 주요 해킹 기업은 무엇이고, 그 보안대책은 무엇일까?

■파일 업로드

공격자가 공격 프로그램을 해당 시스템에 업로드해서 공격하는 방법을 말한다. 이 방법은 공격이 쉽고 영향력이나 파급 효과가 크다는 특징을 갖는다. 공격법은 시스템 내부 명령을 실행할 수 있는 웹 프로그램을 만들어 자료실 등에 업로드하는 것. 파일 업로드 공격에 대응하기 위해선 파일 확장자 이름을 확인하면 된다. 특정 확장자를 가진 파일만 업로드되도록 하는 것 역시 괜찮은 방법이다. 파일이 업로드되는 디렉터리의 실행 권한을 없애는 것도 적절하다고 전문가들은 말한다.

■디렉터리 탐색

디렉터리 탐색은 웹브라우저에서 확인할 수 있는 경로의 상위로 가 특정 시스템 파일을 다운로드하는 공격법이다. 이는 전용의 다운로드 프로그램이 파일 이름을 필터링하지 않아 생기는 취약점으로 불린다. 전용 다운로드 프로그램을 사용할 때 ‘..’나 ‘/’ 문자열에 대한 필터링이 없으면 공격자는 상위로 가 특정 파일을 볼 수가 있기에 이들 문자를 필터링해야 한다.

■디렉터리 리스팅

디렉터리 리스팅은 웹 브라우저에서 웹서버의 특정 디렉터리를 열 경우 거기에 있는 모든 파일과 디렉터리 목록이 나열되는 걸 말한다. 공격자는 이 취약점을 통해 웹서버에 어떤 파일이 있는지 확인할 수 있고, 공격 취약점을 추가로 찾을 수도 있다. 허나 해당설정 내용을 적절하게 바꾸면

■인증우회

인증우회란 인증이 필요한 페이지의 인증 과정을 거치지 않고 접속할 수 있는 취약점이다. 이 취약점에 노출될 경우 해커가 관리자 권한을 획득, 웹 사이트의 모든 기능을 마음대로 조작할 수 있게 된다. 관련 피해를 막기 위해선 로그인 세션에 대한 검사를 하는 과정을 넣으면 된다.

■SQL 인젝션 공격

어느 사이트든 로그인을 위해선 정상적인 아이디와 비밀번호를 넣어야 한다. 그리고 웹 애플리케이션 개발자는 정상적인 ID와 비밀번호를 넣을 걸 기대하고 프로그래밍에 임한다. 하지만 공격자는 정상적 문자가 아닌 특정 SQL문을 넣어 공격을 감행한다. 그러면 그게 그대로 데이터베이스에 전송돼 공격자가 원하는 일이 벌어진다. 이를 막으려면 사용자의 입력이 SQL 인젝션을 발생시키지 않게 사용자 입력을 필터링하고, 데이터베이스 서버에 대한 보안을 설정해야 한다.

■크로스 사이트 스크립팅(XSS) 공격

공격자는 XSS 취약점이 있는 사이트에 악의적 스크립트를 업로드하는데, 이것이 사용자의 컴퓨터에 문제를 일으킬 수 있다. 이 공격으로 사용자 쿠키를 훔쳐 사용자의 권한으로 로그인하거나 브라우저를 제어하는 게 가능하다. 이 공격을 막으려면 쿠키에 민감한 정보를 담지 않아야 한다. 아울러 스크립트 코드에 사용되는 특수문자를 이해하고 정확하게 필터링을 해야만 한다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>