2024-03-29 02:15 (금)
Mass SQL Injection 공격, 한국서 본격 확산!
상태바
Mass SQL Injection 공격, 한국서 본격 확산!
  • 길민권
  • 승인 2011.11.15 15:44
이 기사를 공유합니다

악성코드나 가짜 백신 유포 URL과 특정사이트 유도 URL 삽입
한국 현재 약 1020개 웹페이지 공격…계속 확산, 대책마련 시급
지난 11월 4일 러시아 쪽 웹사이트를 시작으로 Mass SQL Injection 공격이 진행되고 있으며, 국내에서는 11월 11일부터 본격적으로 진행되고 있다. 웹사이트의 데이터베이스에 삽입되는 문자열은 “statsmy.xxx/xx.php”(이하 statsmy) 형태로 가짜 백신의 특징이기도 하다.
 
기존의 리자문(lizamoon)과 같은 가짜 백신을 배포하는 행태는 하루 이틀 사이에 수백·수천개의 웹사이트를 감염시키는데 반해 이번에 발생한 “statsmy”는 공격이 짧은 시간 내에 동시다발적으로 발생하는 것이 아니라, 최초 출현 이후 약 1주일 후에 공격이 심화되는 새로운 현상을 보이고 있다. 최초 일주일 간에는 1~5개 웹사이트를 변조했으며, 10일 이후에는 40개 이상 급격하게 증가하고 있다. 11월 14일 오후 3시 23분 기준으로는 모두 99개의 변조된 웹사이트 통계정보를 볼 수 있었다.
 
<WebSanitizer 엔진이 진단한 해킹된 웹사이트의 숫자(11월 4일부터 14일까지)>
 
◇SQL Injection 공격툴, 인터넷서 쉽게 구해=공격자들은 SQL Injection 공격에 관한 오랜 연구를 통해 다양한 공격 기술 및 툴을 개발해 인터넷에서 손쉽게 무료 또는 저렴하게 구입할 수 있다. 이러한 공격 툴을 이용하여 간단한 조작만으로 웹사이트의 콘텐츠 또는 데이터베이스를 변조할 수 있다.
 
Mass SQL Injection 공격은 SQL Injection 공격의 한 형태로 분류할 수 있다. Mass SQL Injection 공격은 특정한 시각을 기점으로 동시다발적으로 수백·수천개의 웹사이트에 동일한 SQL Injection 공격을 행하는 것을 말하며 거의 대부분 데이터베이스에 악성코드나 가짜 백신을 유포하는 경유지 URL 또는 특정사이트로 유도하는 URL을 삽입한다.
 
또한, 공격 대상이 특정화되어 있지 않기 때문에 이미 변조된 웹사이트에 동일한 URL이 삽입되는 상황이 나타나기도 한다. 즉, 변조나 감염 여부를 확인하지 않는다는 점이 Mass SQL Injection의 가장 큰 특징이다.
 
<중복하여 변조된 웹 사이트의 소스>
 
11월 14일 오후 3시(한국시각 기준)에 구글 검색을 통해 “statmy” URL을 검색해 보면 약 8,540 개의 웹페이지가 변조되었다는 결과를 얻을 수 있으며, 검색 조건을 대한민국 도메인(.kr)으로 한정해 보면 약 1,020개 웹페이지라는 결과를 얻을 수 있다.
 
 
<구글에서 검색한 내역(11월 14일 오후 3시)>
 
◇Mass SQL Injection 공격 대응방안은=문일준 빛스캔(bitscan.co.kr) 대표는 “이러한 Mass SQL Injection공격을 차단하거나 예방하기 위해서는 장기적인 방안부터 단기적인 방안까지 검토할 필요가 있다”고 강조했다.
 
우선 문대표는 “장기적 관점에서는 SQL Injection 취약점의 근본적인 해결책인 시큐어 코딩을 들 수 있다. 웹사이트 개발이 완료된 시점에서 Q/A와 함께 보안성을 검토하는 기존의 방법론보다 더욱 적극적인 방안으로 개발의 설계부터, 개발 중에 보안을 염두에 둔 코딩과 웹 취약성 분석을 병행해야 한다”고 강조했다.
 
또 “단기적인 관점에서는 웹사이트의 웹 취약성을 이용하는 공격을 예방 또는 차단하기 위한 웹 방화벽(WAF, Web Application Firewall)의 도입을 들 수 있다. 다만, 이러한 방안은 패턴(시그니처)을 비교 분석하는 방식을 이용하기 때문에 인코딩이나 암호화, 난독화 등의 꼼수를 이용하여 우회할 수 있는 여지가 있다는 단점을 가지고 있다”고 설명했다.
 
덧붙여 그는 “또하나의 단기적 관점에서는 공격을 통해 변조(삽입)하는 URL을 빠른 시간 내에 탐지하고 이를 네트워크 장비 또는 보안 소프트웨어 등에서 차단하도록 하는 방안을 들 수 있다. 다만, 이 방법도 웹사이트의 DB가 변조되었는지 내부에서 확인해야 하는 한계를 지니고 있다”고 밝혔다.
 
문일준 대표는 “올해 초부터 Mass SQL Injection 공격에 대해 다양한 정보를 제공하고 이를 해결해야 한다고 강조했다”며 “하지만 아직까지도 국내뿐만 아니라 해외에서도 적절하게 대응하지 못하고 있는 형편이다. 뭔가 확실한 대응방안이 나와야 할 것”이라고 강조했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★