기초영어 XXX잉글리쉬 사이트 공지게시판 부분에 블라인드 SQL인젝션 취약점이 발견됐다. Blind SQL injection 취약점이란 악의적인 문자를 삽입해 쿼리결과로 나오는 참 혹은 거짓에 따라 DB를 공격하는 기법이다. 쿼리인젝션과 비슷한 공격으로 SQL구문을 필터링 하지 않아 기타 오류정보를 획득해 DB를 빼오거나 빼온 DB로 관리자 계정까지 획득할 수 있어 신속한 보안조치가 필요하다.
 
해당사이트(위험성으로 인해 사이트 실명은 미공개)의 취약점을 발견하고 데일리시큐에 11월 4일 제보 해 온 이예랑(0xyzen 소속) 군은 “SQL인젝션 취약점은 관리자 계정 탈취 뿐만 아니라 DB까지 탈취할 수 있어 개인정보 유출과 사이트의 권한획득 그리고 유료정보에 대한 금전적 피해 등이 발생할 수 있어 신속한 패치가 필요하다”고 강조했다.
 
이 군은 취약점 패치 방안에 대해 “union, select, from, where 기타 등등의 SQL 구문을 필터링해 구문을 입력할 때 다른 대체 문자로 치환하거나 쿼리 에러가 났을 때 에러에 대한 정보를 출력하지 않고 일반적인 오류 페이지를 출력해야 한다”고 권고했다.
 
데일리시큐는 사이트의 위험성 때문에 실명을 공개하진 않았지만 해당 취약점 제보내용을 KISA에 전달해 보안 패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com