기업 65%, 지난 1년간 SQL Injection 공격 경험

[보안뉴스 김경애] 개인정보 유출사고가 잇따라 발생하고 있는 가운데 기업의 취약점 점검이 매우 부실한 것으로 드러났다. 특히 그중에서도 SQL Injection은 많은 기업의 웹사이트 취약점으로 대두되고 있어 주의가 필요하다.

SQL Injection은 URL 요청 또는 웹 요청에 포함되는 파라미터 값에 악의적인 SQL 구문이나 시스템 명령을 삽입하는 형태의 공격기법이다.

개인정보보호 및 정보보안 연구기관인 Ponemon 연구소의 기업의 SQL Injection에 대한 위협 및 관리인식 관련 분석 보고서에 따르면 응답자 기업의 65%는 지난 1년간 SQL Injection 공격을 경험했다고 밝혔다.

이어 응답자의 절반(49%) 가량은 SQL Injection 위협이 회사의 자산에 심각한 영향을 끼칠 수 있다고 답한 것으로 조사됐다.

악의적이거나 잘못된 SQL 쿼리문을 발견하는데 걸리는 시간은 평균 140일 정도이며, 이를 수정하기 위한 작업에는 추가적으로 68일 정도 소요된다는 것. 따라서 SQL Injection 공격의 근본원인을 이해해 제거하는 것이 가장 효과적인 예방책이다.

그러나 응답자의 56%는 모바일 디바이스(BYOD)를 활용한 업무가 증가하고 있기 때문에 SQL Injection 공격의 근본 원인 파악이 점점 더 어려워지고 있는 추세라고 입을 모았다.

이러한 위협과 피해에 대한 심각성을 인지하고 있음에도 불구하고 SQL Injection 공격을 방지하기 위한 노력 및 조치는 부족한 실정이다.

응답자 52%는 타사 소프트웨어 도입 시, SQL Injection 공격에 취약한지 아닌지 등의 점검 절차를 수행하지 않는 것으로 드러났다.

또한 확실하게 유효성 점검을 실시한 응답자는 6%에 불과하며, 나머지는 어느 정도만 유효성 점검을 실시하는 것으로 조사됐다. 44%의 기업에서만 정보 시스템의 취약점을 식별하기 위해 전문 침투 테스트를 실시한다고 응답한 것.

하지만 이중 35%만이 SQL Injection 취약점 식별 관련 침투테스트를 시행하는 것으로 분석됐다. 데이터베이스에 대한 더 많은 점검이 필요함에도 불구하고 응답자의 3분의 1만이 지속적으로 점검하고 있었으며, 25%는 불규칙하게, 22%는 전혀 점검하지 않는 것으로 나타났다.

SQL Injection 공격에 대처하기 위한 분석 솔루션 사용과 관련해서는 향후 2년 내에 행동분석 기반 시스템과 시그니처 기반의 IT 보안 시스템으로 대체될 것이라고 응답했다. 이에 따라 기업의 SQL Injection 취약점에 대한 집중관리가 시급해 보인다.

이와 관련 좀더 자세한 사항은 KISA 인터넷침해대응센터 및 아래 출처를 참고하면 된다.

[출처]

1.http://securityaffairs.co/wordpress/24094/cyber-crime/ponemon-sql-injection-attacks.html

2.http://www.dbnetworks.com/news/news_04162014.htm

3.http://www.techrepublic.com/article/why-sql-injection-attacks-are-successful-a-ponemon-report-offers-interesting-insight/

4.http://www.amptechsolutions.com/wp-content/uploads/2014/04/Ponemon-SQL-Injection-Threat-Study.pdf

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 3

  SW 공급망 보안 가이드라인 1.0 발표.....

• 4

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 5

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...