2015년 하반기 웹 공격동향으로는 취약성 파악을 목적으로 한 공격이 많이 발생했고, 공격 위험도가 ‘심각’으로 나타난 공격이 많았다. 특히 취약성 관련 정보를 통한 웹 사이트 공격과 관리자 권한 취득을 타깃으로 하는 공격이 빈번했다. 이러한 공격은 같은 해 상반기에도 약 4억만 건의 공격 탐지 건수를 기록하며 1위를 차지했던 공격 유형이다.
 
펜타시큐리티(대표 이석우) 조사에 따르면, OWASP(Open Web Application Security Project) Top 10 attacks 기준으로는 A1에 해당하는 보안위험인 인젝션(Injection) 공격이 31%를 차지해 가장 높은 순위를 기록했다. 해당 공격은 비교적 쉽게 공격시도가 가능한 공격이지만, 공격 난이도에 비해 기술적 영향도가 심각해 대응이 반드시 필요하다.
 
Injection 공격의 뒤를 이어 26%로 2위를 기록한 공격은 Security Misconfiguration(보안 설정 오류)으로 해당 공격은 시스템에 대한 권한을 공격자가 가질 수 있어 시스템 전체가 해킹 될 위험이 있는 공격이다.
 
이 회사는 이번 하반기 웹 공격동향 보고서부터는 이러한 공격 동향 정보와 더불어 WAPPLES가 탐지한 ‘Black List Top 30’ 정보도 함께 제공할 예정이다.
 
김덕수 펜타시큐리티 전무는 “이러한 웹사이트 공격 및 관리자 권한취득을 타깃으로 한 공격이 성공할 경우, 웹사이트 취약점이 노출되는 것과 더불어 기밀 정보들이 유출되고 웹서버가 동작 불능 상태가 될 수 있다”며 “각종 공격을 예방하기 위해 서버 및 보안 담당자는 강력한 접근제어를 통해 권한 관리 수준을 관리해야 하고, 사전에 웹방화벽 솔루션을 구축해 웹공격 위협에 대비해야 한다”고 전했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com