세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
SQL 인젝션 공격을 모바일에서 가능케 해주는 툴 등장
  |  입력 : 2017-07-13 16:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존 취약점 스캐너 툴과 텔레그램 합쳐진 새로운 툴
지하 시장에서 큰 호응 이끌어...쓰기 쉽고 값도 높지 않아


[보안뉴스 문가용 기자] 낫지 않는 감기처럼 SQL 인젝션 문제가 계속해서 디지털 환경을 병들게 하고 있다. 언제나 나을지, 이 긴 병의 끝은 보이지 않는다. 게다가 최근 보안 전문 업체 레코디드 퓨처(Recorded Future)는 최근 이 SQL 인젝션 취약점을 노리는 새로운 공격 툴을 발견하기까지 했다. SQL 인젝션 공격을 더욱 쉽게 만들어주는 툴이라고 한다.

[이미지 = iclickart]


이 툴의 이름은 카추샤 스캐너(Katyusha Scanner)인데, 오픈소스 침투 테스트 툴인 아나키 스캐너(Anarchi Scanner)에다가 텔레그램(Telegram)이라는 클라우드 기반 암호화 통신 메시지 앱을 결합한 것이라고 한다. “이 둘을 합했을 때 나타나는 효과는 1) 넓은 범위를 스캔할 수 있다는 것이고 2) 모바일 기기만으로도 이러한 공격을 할 수 있다는 것입니다.”

이 두 가지 장점을 공격자 시점에서 다시 풀어보면 1) 공격하는 데 드는 비용이 싸고 2) 인터페이스가 간단해 사용이 쉽고, 3) 업데이트도 자주 된다는 것이다. “게다가 이 툴을 판매하는 자들의 고객 서비스 수준도 꽤나 높은 것으로 보입니다.” 카추샤 스캐너의 가격은 프로 버전이 50만원 정도이고, 라이트 버전은 25만원, SaaS 모델은 한 달에 20만원이다.

고객들의 반응도 굉장히 좋은 편이다. “어떤 범죄자 고객은 이 툴의 성능에 대해 엄청난 칭송을 하고 있더군요. 사용을 시작하자마자 웹 서버 8개에 침투할 수 있었다면서 말이죠. 게다가 판매자가 구매자의 서버 환경에 맞게 환경설정도 해주는 등 서비스 자체가 남달랐다고 증언했습니다. 추천하는 후기 댓글들도 많았고요.” 레코디드 퓨처의 안드레이 바리세비치(Andrei Barysevich)가 설명한다.

SQL 인젝션 공격은 보안에 조금만 발을 담가 본 사람이라면 다 들어본, 유명하고 보편적인 공격 방법이다. 현재까지 약 20년 동안 보안 담당자들을 괴롭혀 온 장본이기도 하다. 그럼에도 꾸준히 기승을 부리고 있으며, 여전히 자주 발견된다.

“SQL 인젝션 취약점은 믿기 힘들 정도로 여기 저기 존재합니다. 너무 많은 애플리케이션들에서 발견돼요.” 화이트햇 시큐리티(WhiteHat Security)의 부회장 라이언 올리어리(Ryan O’Leary)가 설명한다. “이미 숱하게 발생한 데이터베이스 침해 사고 대부분 SQL 인젝션 취약점으로부터 발생한 겁니다. 공격자들도 이를 잘 알고 있으며, 그래서 이를 자주 활용하는 편입니다. 게다가 익스플로잇도 꽤 쉬워요.”

SQL 인젝션 취약점이 꾸준히 발생하는 이유는 완전히 고치기가 쉽지 않고 시간이 꽤 걸린다는 특성과, 애플리케이션 개발에 익숙하지 않은 새내기들이 끊임없이 새로운 SQL 취약점을 추가시킨다는 것이다. 그것도 매일.

지난 달 보안 업체 트립와이어(Tripwire)는 개발자들이 SQL 문제를 자꾸만 추가시킨다는 점을 구체적으로 연구해 그 결과를 발표했다. 프리랜서 웹 디자인 시장으로 들어가 간단한 워드프레스 사이트를 만들어달라고 의뢰를 한 것이었다. 약 스무 건의 의뢰를 진행했는데, 모든 프로젝트에서 SQL 인젝션 취약점이 나왔다고 한다. “해커 입장에서 공격하기 아주 쉽게 웹 사이트가 만들어져 있더군요.”

이 사실을 사이버 범죄자 및 공격자들이 모를 리 없다. 그렇기에 카추샤 스캐너가 불티난 듯 팔리는 것이다. “이미 널리 알려진 분야라고 간과해서는 안 됩니다. 공격자들 역시 더 쉽고 더 효율적으로 공격하려고 계속해서 머리를 굴리고 있거든요. 공격하고 방어한다는 건 결국 비용의 문제에요. 누가 더 싸게 해서 많이 남기나. 이 취약점을 내가 알거나 모르거나의 문제가 결코 아닙니다.”

그렇기에 ‘남들이 모르는 걸 내가 먼저 알아냈다’가 보안 전문가의 할 일이 아니라 ‘공격자의 비용을 어떻게든 높이는 게’ 목표가 되어야 한다고 올리어리는 설명한다. “그래서 아예 코딩을 안전하게 하도록 장려하고 교육해야 하는 겁니다. 처음 개발 단계 때부터 단단하게 만들어진 게 가장 공격하기 힘들고 비싸거든요. SQL 인젝션 공격이 ‘효율성 좋은 공격’이라는 걸 기억해야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#SQL   #인젝션   #공격   #비용   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)