[보안뉴스 김경애] 개인정보 유출사고가 잇따라 발생하고 있는 가운데 기업의 취약점 점검이 매우 부실한 것으로 드러났다. 특히 그중에서도 SQL Injection은 많은 기업의 웹사이트 취약점으로 대두되고 있어 주의가 필요하다.

SQL Injection은 URL 요청 또는 웹 요청에 포함되는 파라미터 값에 악의적인 SQL 구문이나 시스템 명령을 삽입하는 형태의 공격기법이다.

개인정보보호 및 정보보안 연구기관인 Ponemon 연구소의 기업의 SQL Injection에 대한 위협 및 관리인식 관련 분석 보고서에 따르면 응답자 기업의 65%는 지난 1년간 SQL Injection 공격을 경험했다고 밝혔다.

이어 응답자의 절반(49%) 가량은 SQL Injection 위협이 회사의 자산에 심각한 영향을 끼칠 수 있다고 답한 것으로 조사됐다.

악의적이거나 잘못된 SQL 쿼리문을 발견하는데 걸리는 시간은 평균 140일 정도이며, 이를 수정하기 위한 작업에는 추가적으로 68일 정도 소요된다는 것. 따라서 SQL Injection 공격의 근본원인을 이해해 제거하는 것이 가장 효과적인 예방책이다.

그러나 응답자의 56%는 모바일 디바이스(BYOD)를 활용한 업무가 증가하고 있기 때문에 SQL Injection 공격의 근본 원인 파악이 점점 더 어려워지고 있는 추세라고 입을 모았다.

이러한 위협과 피해에 대한 심각성을 인지하고 있음에도 불구하고 SQL Injection 공격을 방지하기 위한 노력 및 조치는 부족한 실정이다.

응답자 52%는 타사 소프트웨어 도입 시, SQL Injection 공격에 취약한지 아닌지 등의 점검 절차를 수행하지 않는 것으로 드러났다.

또한 확실하게 유효성 점검을 실시한 응답자는 6%에 불과하며, 나머지는 어느 정도만 유효성 점검을 실시하는 것으로 조사됐다. 44%의 기업에서만 정보 시스템의 취약점을 식별하기 위해 전문 침투 테스트를 실시한다고 응답한 것.

하지만 이중 35%만이 SQL Injection 취약점 식별 관련 침투테스트를 시행하는 것으로 분석됐다. 데이터베이스에 대한 더 많은 점검이 필요함에도 불구하고 응답자의 3분의 1만이 지속적으로 점검하고 있었으며, 25%는 불규칙하게, 22%는 전혀 점검하지 않는 것으로 나타났다.

SQL Injection 공격에 대처하기 위한 분석 솔루션 사용과 관련해서는 향후 2년 내에 행동분석 기반 시스템과 시그니처 기반의 IT 보안 시스템으로 대체될 것이라고 응답했다. 이에 따라 기업의 SQL Injection 취약점에 대한 집중관리가 시급해 보인다.

이와 관련 좀더 자세한 사항은 KISA 인터넷침해대응센터 및 아래 출처를 참고하면 된다.

[출처]

1.http://securityaffairs.co/wordpress/24094/cyber-crime/ponemon-sql-injection-attacks.html

2.http://www.dbnetworks.com/news/news_04162014.htm

3.http://www.techrepublic.com/article/why-sql-injection-attacks-are-successful-a-ponemon-report-offers-interesting-insight/

4.http://www.amptechsolutions.com/wp-content/uploads/2014/04/Ponemon-SQL-Injection-Threat-Study.pdf

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>