• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

자동화된 SQL 인젝션 공격에 초토화 된 ┖2009년┖ 2010.02.08

MS 보안 정보보고서, 2009년 취약점 보고 


마이크로소프트에서 정기적으로 발간하는  2009년 1~2분기 보안 정보 보고서(http://www.boannews.com/custom/banner_page.asp?idx=221) 결과, 한국은 작년 1분기 동안 온라인 게임을 대상으로 하는 웜이 지배적으로 많았으며, 자동화 된 SQL 인젝션 공격과 브라우저 기반 익스플로이트, 드라이브 바이 다운로드(Drive-by download)로 인한 보안위협이 크게 증가한 것으로 파악됐다.


이 보고서에 따르면, 미국과 영국, 프랑스 및 이탈리아에서는 트로이 목마가 가장 큰 위협이었고, 중국에서는 일부 언어별 브라우저 기반 위협이 널리 유포되었고, 브라질에서는 온라인 뱅킹을 대상으로 하는 맬웨어가 널리 확산된 것으로 조사됐다. 반면 한국과 스페인에서는 온라인 게임을 대상으로 하는 웜이 지배적이었던 것으로 나타났다.

 

 ▲대량 SQL인젝션 도구의 구현방식 ⓒ마이크로소프트


자동화된 SQL 인젝션 공격으로 인한 피해도 컸었다. SQL 인젝션(injection)이란, SQL(구조적 쿼리 언어) 구문을 사용해 정보 저장과 검색을 제어하는 데이터베이스에서 데이터에 손상을 주거나 데이터를 도용하기 위해 공격자가 사용하는 기법이다. 이 기법은 작년 1분기 동안에 널리 사용된 것으로 확인됐다.


SQL 인젝션은 보통 악성 SQL 코드를 데이터베이스에 쿼리하는 프로그램 또는 스크립트로 직접 전달한다. 따라서 프로그램 또는 스크립트가 입력 데이터의 유효성을 제대로 확인하지 않을 경우, 공격자는 임의의 명령을 실행할 수 있다.


2007년 말부터 공격자는 자동화된 도구를 사용하여 맬웨어 확산을 시도하기 위한 방편으로 SQL 인젝션 기능을 통해 다수의 웹 사이트를 손상시키기 시작한 것으로 파악되고 있다.


또한 작년 익스플로이트의 추세는 브라우저 기반 익스플로이트가 가장 왕성했던 것으로 파악되고 있다. 마이크로소프트는 2009년 1분기에 브라우저 기반 익스플로이트의 상대적인 유행을 평가하기 위해 고객 보고 사례, 제출된 악성 코드, 및 MS 윈도우 오류 보고서로부터 샘플 데이터를 분석했다고 전했다. 그 데이터는 윈도우 XP에서 윈도우 비스타까지 운영 체제 및 브라우저 버전을 포괄하고 있다.


윈도우 XP 기반 컴퓨터에 대한 브라우저 기반 공격에 대해, 마이크로소프트 취약점은 전체에서 56.4%를 차지한 것으로 파악됐다. 반면 윈도우 비스타 기반 컴퓨터에 대해서는, 마이크로소프트 취약점이 전체의 15.5%로 조사됐다. 그리고 윈도우 XP를 실행하는 컴퓨터에서 공격받는 10가지 주요 브라우저 기반 취약점 중 6개를 차지했으나 윈도우 비스타를 실행하는 컴퓨터에서는 단 1개에 그쳤다.


마이크로소프트 오피스에서 악용된 취약점은 이미 공식 패치가 된 것을 조사됐다. 이는 패치를 실행하지 않은 많은 오피스 제품에서 피해가 나타난 것으로 풀이되고 있다. 악용된 취약점 중 절반 이상이 2006년 마이크로소프트 보안 업데이트에서 처리됐다고 보고서는 밝히고 있다. 특히 공격의 71.2%가 3년 동안 사용 가능했던 보안 업데이트(MS06-027)에 대한 단일 취약점을 악용한 것으로 드러났다.


한편 사용자 몰래 또는 악성 코드를 다운로드 시키는 드라이브-바이 다운로드(Drive-by Download)페이지의 분석결과에 따르면, 대부분은 손상된 합법 웹 사이트에서 호스팅 되는 것으로 파악됐다. 이 보고서에서는, 공격자 침입하거나 블로그의 설명 필드와 같이, 보안이 취약한 웹 양식에 악성 코드를 게시함으로써 사이트에 합법적으로 액세스할 수 있다고 전한다.


보고서는 익스플로이트 서버 역할을 하는 손상된 서버는 대량 접속을 허용할 수 있기 때문에, 하나의 익스플로이트 서버 만으로도 수십만의 감염된 웹 페이지를 양산할 수 있다고 경고했다. 따라서 현존하는 익스플로이트 서버는 2009년에 짧은 기간 동안에도 수천의 웹 페이지를 감염시킬 수 있었다고 설명했다.


특히 Trojan Downloader/Dropper는 드라이브-바이 다운로드 사이트에서 가장 많이 이용되는 악성코드이며 전체의 40.7%를 차지하는 것으로 드러났다. Trojan downloader는 감염된 컴퓨터에 다른 악성코드를 설치할 수 있기 때문에 드라이브 바이 다운로드로 전달하는 데 가장 적합하다고 덧붙였다.


자세한 내용은, 마이크로소프트의 2009년 1~2분기 보안 정보 보고서 다운로드 사이트(http://www.boannews.com/custom/banner_page.asp?idx=221)에서 확인할 수 있다.

 

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>