기존 대책으로는 한계있어...새로운 웹보안 대책 개발·보완해 나가야

[보안뉴스 호애진] 지난 20일 오후 6시 경부터 국내 웹서버를 대상으로 하는 대규모 SQL 인젝션 공격이 있었던 것으로 밝혀졌다.

대규모 SQL 인젝션 공격은 특정한 시각을 기점으로 동시다발적으로 수백 수천개의 웹사이트에 동일한 공격을 행하는 것을 말하며 거의 대부분 데이터베이스에 악성코드를 유포하는 경유지 URL 또는 특정사이트로 유도하는 URL을 삽입하는 형태로 공격이 발생된다.

이번에 발생한 대규모 SQL 인젝션 공격은 웹서버가 이용하는 데이터베이스 서버의 필드에 악성코드 또는 가짜백신을 유포하는 URL이 포함된 것으로 약 70여 개의 웹사이트가 피해를 입은 것으로 파악됐다.

이번 공격에 이용된 URL은 http://d****c.com/ur.php으로 ur.php 형태를 띠고 있다. 이러한 특징으로 살펴볼 때 공격자는 지난 4월달에 발생한 리자문 공격(lizamoon.com/ur.php)을 주도한 인물과 동일할 것으로 전문가들은 추측하고 있다. 당시 리자문 공격으로 웹사이트 페이지 100만개 이상이 해킹에 의한 악성 코드에 감염된 바 있다. 이는 역대 최고의 피해 규모였다.

한편 ur.php 형태로 진행되는 대규모 SQL 인젝션 공격은 4월 이후로 꾸준히 발생하고 있다. 공격의 원인인 SQL 인젝션 취약점은 발견된 지 10년이 넘었지만 여전히 가장 많이 공격에 활용되고 위험도가 높아 문제가 심각하다.

최근 약 한달 동안 6번의 대규모 공격이 있었으며, 특히 가장 최근에 발생한 대규모 SQL 인젝션 공격에서는 국내 대기업에서 운영하고 있는 유명 쇼핑몰이 관련된 것으로 나타나 우려가 되고 있다.

이 쇼핑몰의 경우 자체 내 웹사이트에 SQL 인젝션 취약점이 있지는 않지만 사이트 링크 방식인 ‘몰인몰(Mall in Mall)’ 형태로 입점한 W업체와 B업체 사이트에 해당 취약점이 존재한다. 해당 쇼핑몰 관계자는 보유하고 있는 DB 자체가 다르고 법적으로도 아무 책임이 없다고 주장하지만 이 쇼핑몰을 신뢰하고 방문하는 사용자 입장을 고려해 본다면 도의적인 책임을 면하기는 힘들 것으로 보인다.

문일준 빛스캔 대표는 “웹방화벽이나 보안 코딩과 같은 기존 대책으로는 현실적인 한계가 존재한다”며 “가짜 백신을  유포하는 URL, 제로데이 익스플로잇을 자동으로 다운로드하게 하는 웹 페이지 등에 대한 빠른 탐지 그리고 탐지한 URL을 DB로 활용하는 방안을 고려하는 등 새로운 웹보안 대책을 꾸준히 개발, 보완해 나가야 한다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>