개발단계부터 보안 고려...취약점 사전 조치 취해야

[보안뉴스 호애진] 보안 전문가들이 웹 애플리케이션의 취약점에 대해 경고하고 있고 보안을 더욱 강화해야 한다고 주장하고 있지만 이로 인한 해킹 사고는 끊이지 않고 있다.

특히 최근 발생한 해킹 사고를 보면 SQL 인젝션 공격에 의한 경우가 많다. 사실 SQL 인젝션은 가장 많이 시도되는 공격일 뿐만 아니라 가장 성공률이 높은 공격이기도 하다.

SQL인젝션 공격은 웹페이지의 로그인 창 등에 SQL 구문을 넣어 데이터베이스의 정보를 빼내거나 홈페이지를 변조해 악성코드를 유포하는 해킹 수법이다.

애플리케이션 시큐리티의 CTO인 조쉬 샤울(Josh Shaul)은 미국의 SC 매거진에 ‘SQL 인젝션 공격이 꾸준히 발생하는 원인은?’이라는 주제로 기고한 컬럼에서 자신의 의견을 피력했다.

조쉬 샤울은 우선 SQL 인젝션 취약점을 이용해 공격하는 것이 쉽다고 밝혔다. 구글과 같은 온라인 사이트에서 손쉽게 공격 기법을 구할 수 있기 때문이다.

이 공격은 기초적인 해킹 공격이지만 공격에 노출될 경우 사이트의 정보 유출, 숙주서버 변조를 통한 악성코드 유포 등 큰 피해를 줄 수 있다.

그는 “기업에서 보안 패치에 대해 크게 신경쓰지 않는 것도 문제”라며 “아울러 소프트웨어 개발자들이 여전히 보안에 취약한 SW를 개발하고 있고 보안 코딩에 대한 인식이 부족한 것이 SQL 인젝션 공격이 많이 감행되는 원인 중 하나”라고 지적했다.

또 웹 애플리케이션 방화벽이 널리 사용되고 있지만 보안 정책을 세밀하고 정확히 세우지 않는 경우 우회할 수 있는 통로가 여전히 남아 있다고 덧붙였다.

조쉬 샤울은 “웹 애플리케이션 취약점에 대한 보안 위협을 인지하고 개발 단계에서부터 보안을 고려, 보안 취약점에 대한 사전 조치를 취하는 것이 중요하다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>