[보안뉴스 권 준] 영국 국방부 웹사이트(www.mod.uk)가 SQL 인젝션 공격으로 해킹을 당해 3천여 개 이상의 이메일 아이디와 패스워드가 유출된 것으로 드러났다.

해외 보안전문매체인 SecurityWeek가 6일(현지시각) 보도한 바에 따르면 해커그룹 NullCrew의 일원이라고 밝힌 공격자들은 비교적 쉬운 SQL 인젝션 공격을 통해 3천여 개 이상의 이메일 주소와 패스워드를 추출할 수 있었다고 밝힌 것으로 알려졌다.

공격자들은 “취약점의 단순성으로 인해 쉽게 유용한 데이터를 빼낼 수 있었다”고 말했으며, 이들은 이메일 주소와 비밀번호를 추출해낸 것 외에도 주요 파일에 대한 구체적인 정보를 서버에 게시한 것으로 나타났다.      

해커그룹 NullCrew은 최근에 데이터 유출사건을 많이 일으킨 것으로 유명하다. 일례로, 지난달에는 영국에서 가장 큰 이동통신업체 가운데 하나인 Orange 사 서버를 해킹해 내부 DB 호스트 정보와 이에 상응하는 비밀번호를 공개했으며, 대학과 미디어의 관심을 받기 위해 영국의 캠브리지 대학신문 사이트도 해킹한 바 있다. 

또한, 중국과 대만고객을 관리하는 소니의 일부 서버와 함께 캄보디아 정부관련 기관 및 상업용 사이트 일부도 해킹했던 것으로 알려졌다.  

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>