[보안뉴스 오병민] 매시브 SQL인젝션 공격으로 홈페이지가 해킹당한 사례가 크게 증가하고 있는 가운데 국내 공공기관을 비롯한 대학사이트 등 피해의 범위가 점차 확대되고 있어 대책이 필요해 보인다. 특히 관리가 되지 않는 웹사이트에 대해 공격이 이뤄지고 있어 방치된 사이트에 대한 적신호가 켜지고 있다.

최근에는 공공기관 일부 웹페이지에서 SQL인젝션에 대한 취약점이 외국 해킹정보 사이트에서 노출돼 관련기관을 당황케 한 것으로 전해지고 있다.

취약점을 노출한 공공기관 웹페이지는 ‘국가해양환경통합시스템’과 ‘서울시 측량기준 성과관리 시스템’으로 파악되고 있다. 다행히 취약점이 노출된 외국 해킹정보 사이트는 해킹이 목적이 아니라 취약점을 알리는 사이트이기 때문에 해킹에 대한 피해는 없는 것으로 전해졌다.

SQL인젝션 공격은 로그인 아이디나 패스워드 입력창 및 게시판 글 입력창에 특정 명령구문을 넣어 나타나는 버그로 인해 관리자 계정을 탈취하는 공격방법이기 때문에 보안 관리자의 관심만 있다면 충분히 막을 수 있는 공격기법이다. 하지만 취약점에 노출된 사이트들이 대부분 보안 관리자의 관심 밖인 죽은 사이트 이른바 레가시 사이트(Legacy site)였기 때문에 방치되고 있었던 것으로 파악되고 있다.

따라서 서울시 측은 이번 취약점 발견을 계기로 레가시 사이트에 대한 관리 단속을 더욱 강화하겠다고 밝히고 있다. 사실 서울시는 이전에도 레가시 사이트에 대해 해당자치부에 공문도 보내고 자치부 산하기관 홈페이지의 점검을 진행해왔지만, 레가시 사이트 문제는 쉽게 해결할 수 있는 문제가 아니었다고 토로한다.

이처럼 쉽게 해결되지 않는 방치된 사이트에 대한 문제가 점차 커져가고 있다. 특히 개발을 위해 만들어진 임시 페이지나 필요성이 없어져 사용이 되지 않는 등 관리가 되지 않는 레가시 사이트에 대한 문제가 더욱 심화되고 있다.

방치된 사이트를 통해 크게 확산되고 있는 매시브 SQL인젝션 공격이 점차 사용자들을 위협하고 있기 때문에 레가시 사이트 문제는 더욱 심각해진다. 매시브 SQL인젝션 공격은 기존 SQL인젝션 공격과는 달리 타깃을 정해 공격하는 것이 아니라 광범위하게 진행되기 때문에, 대상을 가리지 않고 감염페이지를 확장해 나가고 있다.

특히 최근에는 아이폰의 제조사인 애플사도 자사의 홈페이지가 이 공격에 노출돼 곤욕을 치루고 있으며, 국내에서는 이미 수만 개의 웹페이지가 이 공격에 노출돼 있는 것으로 파악되고 있다. 우리나라에서도 불과 몇 주 전까지 피해 사이트가 몇 천개에 이르렀지만 최근 조사에 따르면 수 만개 수준으로 크게 증가한 것으로 파악되고 있다.

이 공격에 노출된 사용자 PC는 바이러스처럼 방문하는 사이트에 악성코드를 배포하게 된다. 즉 감염된 사용자가 방문한 사이트가 자동으로 해킹당하는 것.

최상명 하우리 사전대응팀장은 매시브 SQL인젝션 공격으로부터 피해를 예방하기 위해서는 웹 어플리케이션에 존재하는 취약점을 제거하고 공격에 사용되는 문자열을 필터링 해야 한다고 조언한다. 또한, DB 명령 실행에 대한 적절한 권한설정이 필요하고, 사용자는 Adobe 0-Day 취약점을 이용한 악성코드에 감염되지 않도록 플래시 플레이어를 최신으로 업데이트해야 한다고 덧붙인다. 그리고 사용자들은 항상 바이러스 백신을 최신으로 업데이트하고 신뢰할 수 없는 사이트는 방문하지 않는 것이 좋다고 조언한다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>