[보안뉴스 김태형] 애플리케이션 보안 솔루션기업 펜타시큐리티시스템(대표이사 이석우, 이하 펜타시큐리티)은 ‘2010년 하반기 웹 공격동향 보고서’(Penta Security Systems Web Application Threat Report, Trends for the second half of 2010)를 지난 14일 발표했다.

   
    OWASP 2010 기준 웹 공격 유형 상위 10

이번 2010년 하반기 리포트는 지난 7월에 발표 이후 두 번째로 발표된 것으로 2010년 7월 1일부터 12월 31일까지의 통계 내용을 담고 있다. 2010년 하반기 웹 공격의 주요 내용을 살펴보면 ▲와플(WAPPLES)룰 탐지 기준으로 익스텐션 필터링(Extension Filtering)이 25.85%로 가장 많았다. 이는 정상적인 웹사이트의 파일들에 대한 접속시도를 의미하며 자동화된 공격도구의 접속뿐 아니라 웹사이트 관리자와 개발자의 부주의로 인한 취약성의 노출이 많았음을 의미한다.

▲OWASP(Open Web Application Security Project) 공격유형으로 URL 접근 제한 실패(Failure to Restrict URL Access)가 29.55%로 가장 많았으며 이는 웹사이트 운영에 중요한 정보가 노출될 수 있는 URL의 접속시도가 많았음을 의미한다. ▲웹 공격의 목적으로는 ‘취약성 파악’ 공격이 48.53%로 가장 많았으며 그 다음으로 웹사이트 변조(16.46%) 및 정보유출(14.26%) 순으로 나타났다. ▲위험도가 높은 공격들의 유형 중에서 PHP서버 환경에서 웹 서버에 악성코드를 실행시킬 수 있는 인클러드 인젝션(Include Injection) 공격이 가장 많았고 그 다음으로 개인정보 유출 시도가 많았다.

펜타시큐리티 김덕수 연구소장은 “스마트워크를 위한 업무환경의 변화와 정보노출이 쉬운 소셜네트워크 환경을 지원하는 각종 모바일 디바이스의 증가로 웹 공격이 다양하고 쉬워지고 있다. 이러한 위협과 함께 웹 공격 사전단계인 취약성 파악 시도와 개인정보유출 시도가 2010년 상반기에 비해 2배 이상 증가하여 이에 대한 적극적인 보안대책을 강화해야 할 것”이라고 말하며 “펜타시큐리티에서 발표하는 웹 공격동향 상세 보고서를 통해 국내외 와플 고객들이 완벽한 보안정책을 세우는 등 지속적인 혜택을 받을 수 있도록 노력하겠다”고 밝혔다.

자세한 ‘2010년 하반기 웹 공격동향 보고서’는 펜타시큐리티 홈페이지(www.pentasecurity.com) 다운로드 센터에서 내려 받을 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>