Home > 전체기사

옥션, SQL 인젝션 공격에 당했을 가능성 커

  |  입력 : 2008-02-12 02:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

간단하지만 강력한 SQL 인젝션 공격에 무너졌을 가능성 크다


옥션이 어떤 공격으로 고객의 정보가 유출됐는지에 대해 인터넷 기업 보안담당자들의 관심이 지대하다. 왜냐하면 자신들도 또 다른 피해를 당할 수 있기 때문이다. 그래서 이러저러한 설(說)들이 난무하고 있다. 그중 가장 신빙성을 가지고 있는 것이 바로 ‘웹공격에 당했을 것’이라는 설이다.


모 일간지에서는 마치 정확한 보도인양 “해커들은 옥션 직원들에게 다량의 이메일을 보내, 메일을 열어보는 순간 직원의 내부 신분확인(ID)정보와 비밀번호가 자동으로 해커들에게 넘어오도록 하는 수법을 썼다. 해커들은 이렇게 입수한 직원들의 접속 정보를 이용해 옥션의 고객 데이터베이스 서버에 접근, 고객 정보를 빼내갔다”고 말하고 있다.


하지만 이 부분은 옥션뿐만 아니라 KISA(한국정보보호진흥원)와 경찰청에서도 아직 발표할만한 상황이 아니라고 말하고 있는 부분이다. 옥션 관계자는 “수백가지 크래킹 기법중에 정확하게 어떤 방법을 사용했는지 알아내려면 시간이 필요할 것”이라고 답했다.


또한 국내 해커들도 “중국 크래커들은 계속해서 다양한 방법의 공격 기법들을 만들어내기 때문에 최신 기법을 사용했다면 이를 탐지해 내는데 상당한 어려움이 있을 것”이라고 말했다.


한편 보안담당자들은 “옥션이 단순하게도 웹 취약점을 통해 SQL인젝션 공격으로 당했을 수도 있다”고 말하고 있다. 즉 “ID와 PW 입력란에 DB에 접근할 수 있는 입력값을 넣었을 때 보안이 돼 있지 않으면 바로 DB창이 보일 수 있다”고 덧붙였다.


또한 그는 “SQL 인젝션 공격은 단순하지만 강력해서 중국 크래커들이 주로 악용하는 방법중 하나”라며 “옥션에서 이를 간과했다면 충분히 당할 수 있다”고 답했다. 하지만 모 일간지에서 말한대로 중국 크래커가 옥션에 대량메일을 발송해 악성코드를 삽입하고 ID와 PW를 알아내 이를 이용해 DB에 접근하는 방식은, 가능은 하지만 그렇게 선호하는 방법은 아니라고 한다. 


만약 옥션이 웹 취약점 공격에 의해 고객정보가 유출됐다면 웹 취약점에 대한 보안관리에 소홀함이 있었다고 볼 수 있다. 또 웹 방화벽 도입이나 관련 보안 솔루션 도입에 허점이 있을 수도 있다.  또 하나 왜 하필 ‘옥션’이 공격대상이 됐을까를 생각해본다. 국내에는 대형 포털도 있고 또 다른 대형 온라인 업체들도 많다.


그럼에도 옥션이 공격 대상이 된 것에 대해 보안담당자들은 “웹 취약점이 발견됐을 것”이라며 “국내 대형 사이트들은 대부분 웹 취약점 공격에 대한 방어를 강화하고 있다. 하지만 상대적으로 옥션에서 취약점이 발견돼 이 부분을 집중 공격했을 가능성이 크다”고 입을 모으고 있다. 


그리고 옥션의 경우는 포털과는 달리 거래 정보가 있기 때문에 금융정보와 같은 더욱 민감한 고객 정보가 상대적으로 많다는 점에서 타깃이 됐을 수도 있다.

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

쪽바리 2008.02.12 16:10

일본에서는 네이버 재팬에서 한게임 회원중 개인정보가 유출된 사건이 있었는데, 그때 개인당 얼마씩 피해보상금을 줬다고 하더군! 아주 쉽게 해결한 케이스이긴 하지만!! 아무튼 개인정보가 유출되었다는 것 자체가 이미 피해보상을 받아야 할 피해라는 인식은 중요하다 이거지!
옥션은 어떻게 할라나~?


옥션시러 2008.02.12 16:02

온라인 쇼핑 자제해야~!!! 그래도 옥션은 좀 나을줄 알았지...


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협