정당한 웹 사용자로 속여 DB정보 빼내는 'SQL 인젝션' 수법 기승
신종 해킹이 갈수록 지능화하면서 대응방법에 비상이 걸리고 있다.
특히 계속되는 해킹으로 인한 웹사이트 변조와 악성코드 유포 위협에 대한 지적에도 불구하고 'SQL 인젝션(injection)' 등 각종 해킹 공격으로 인한 피해가 여전히 심각한 수준이다. 더욱이 각종 해킹 공격 프로그램들이 해외에서 판매되고 있어 정부도 뚜렷한 해결책을 찾지 못하고 있는 상태다.
한국정보보호진흥원(KISA, 원장 황중연)은 최근 중국 해커들이 약 10만 건의 SQL 인젝션 공격을 시도했으며, 공격대상 중 한국 내 사이트가 5%를 차지했다고 밝혔다. SQL 인젝션 공격은 웹페이지의 로그인 창 등에 SQL(DB를 관리하기 위한 질의어) 구문을 넣어 정당한 사용자로 속여 DB(데이터베이스)의 정보를 빼내는 해킹 수법이다.
중국발 공격 대기업 등 피해…보안수준 높여야
본지가 지난 24~25일 불특정 사이트에 SQL 인젝션 공격에 의한 악성코드 링크 삽입여부를 조사하고 구글이 판정한 위험 사이트를 중복 체크한 결과, 200여 개 사이트가 공격을 당한 것으로 파악됐다.
유명 기업 사이트는 물론 지방자치단체, 대학 연구소, 각종 협회ㆍ단체, 유명 페스티벌 사이트 등이 해킹으로 인해 악성코드가 삽입된 것으로 파악돼 이들 사이트에 방문한 누리꾼의 피해가 클 것으로 추정된다. 특히 사이트 방문자가 많은 여행사, 언론사는 물론 보안업체 홈페이지까지도 공격을 당한 것으로 조사됐다.
조사 결과 해킹을 당한 곳은 일반기업 사이트가 29%이었으며, 협회ㆍ단체 등이 19%, 홈쇼핑, 취업 등 인터넷 서비스 사이트가 17% 순으로 나타났다.
이와 관련 방송통신위원회와 KISA는 해킹과 악성코드에 대해 모니터링과 신고를 받아 유포지를 차단하고 해킹을 당한 경유 사이트 관리자에게 문제점을 알려줘 시정을 돕고 있다고 밝혔다.
하지만 해킹이 점차 고도화되고 있어 대응방법 역시 진화해야 한다는 지적이 제기되고 있다.
본지가 지난 26일 미국, 중국 등 해외 사이트들을 조사한 결과, 수십 개 사이트에서 SQL 인젝션 공격 프로그램은 물론 네트워크 해킹, 블루투스 해킹, 암호해제 프로그램 등 각종 해킹 공격 프로그램이 판매되고 있는 것으로 나타났다. 이렇게 판매되는 프로그램은 전문가가 아니라도 쉽게 해킹 공격을 할 수 있게 하며, 새로운 해킹 수법이 나올 때마다 빠르게 번지고 있다. 하지만 이 사이트들이 해외에 기반을 두고 있어 정부는 뾰족한 해결책을 찾지 못하고 있다.
이와 관련, 전문가들은 보안 프로세스를 빠르고 효율적으로 전환해 웹사이트들의 전반적인 보안수준을 높여야 한다고 지적했다.
염흥열 순천향대 교수(정보보호학과)는 "해킹과 악성코드를 적발, 판정해 해당 사이트 관리자에게 통보하고 조치를 취하는 절차가 더 빠르게 처리되게 해야 한다"며 "정부의 노력만으로 모든 해킹과 악성코드를 막을 수 없는 만큼 민간분야와 더 긴밀하게 협력해야 한다"고 말했다.
또 임종인 고려대 정보경영전문대학원장은 "현재의 모니터링 방식은 한계가 있으며, 정보보호도 소방점검을 하듯이 점검기준을 만들어 점검해야 한다"며 "해킹과 악성코드가 매우 광범위한 만큼 일부 점검부문을 민간에 맡기고 정부가 이를 감독하는 방법도 고려해 볼 수 있을 것"이라고 말했다.
한편, 방통위와 KISA는 내년 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정을 통해 웹사이트 악성코드 삭제 요구에 대한 법적 근거를 마련하면 해킹과 악성코드에 대해 더 효과적으로 대응할 수 있을 것이라고 밝혔다.
KISA는 또 해킹 프로그램 유포에 대항하기 위해 침투방지 프로그램을 개발해 제공할 계획이라고 덧붙였다.
강진규기자 kjk@
◆사진설명:지속적인 해킹 방어 노력에도 불구하고 여전히 해킹 공격으로 인한 피해가 막대한 것으로 나타나고 있다. 28일 서울 삼성동에 위치한 보안전문기업인 이글루시큐리티의 직원들이 통합보안관제센터에서 해킹이나 바이러스 등의 사이버공격을 모니터링하고 있다.
사진=김민수기자 ultrartist@
신종 해킹이 갈수록 지능화하면서 대응방법에 비상이 걸리고 있다.
특히 계속되는 해킹으로 인한 웹사이트 변조와 악성코드 유포 위협에 대한 지적에도 불구하고 'SQL 인젝션(injection)' 등 각종 해킹 공격으로 인한 피해가 여전히 심각한 수준이다. 더욱이 각종 해킹 공격 프로그램들이 해외에서 판매되고 있어 정부도 뚜렷한 해결책을 찾지 못하고 있는 상태다.
한국정보보호진흥원(KISA, 원장 황중연)은 최근 중국 해커들이 약 10만 건의 SQL 인젝션 공격을 시도했으며, 공격대상 중 한국 내 사이트가 5%를 차지했다고 밝혔다. SQL 인젝션 공격은 웹페이지의 로그인 창 등에 SQL(DB를 관리하기 위한 질의어) 구문을 넣어 정당한 사용자로 속여 DB(데이터베이스)의 정보를 빼내는 해킹 수법이다.
본지가 지난 24~25일 불특정 사이트에 SQL 인젝션 공격에 의한 악성코드 링크 삽입여부를 조사하고 구글이 판정한 위험 사이트를 중복 체크한 결과, 200여 개 사이트가 공격을 당한 것으로 파악됐다.
유명 기업 사이트는 물론 지방자치단체, 대학 연구소, 각종 협회ㆍ단체, 유명 페스티벌 사이트 등이 해킹으로 인해 악성코드가 삽입된 것으로 파악돼 이들 사이트에 방문한 누리꾼의 피해가 클 것으로 추정된다. 특히 사이트 방문자가 많은 여행사, 언론사는 물론 보안업체 홈페이지까지도 공격을 당한 것으로 조사됐다.
조사 결과 해킹을 당한 곳은 일반기업 사이트가 29%이었으며, 협회ㆍ단체 등이 19%, 홈쇼핑, 취업 등 인터넷 서비스 사이트가 17% 순으로 나타났다.
이와 관련 방송통신위원회와 KISA는 해킹과 악성코드에 대해 모니터링과 신고를 받아 유포지를 차단하고 해킹을 당한 경유 사이트 관리자에게 문제점을 알려줘 시정을 돕고 있다고 밝혔다.
하지만 해킹이 점차 고도화되고 있어 대응방법 역시 진화해야 한다는 지적이 제기되고 있다.
본지가 지난 26일 미국, 중국 등 해외 사이트들을 조사한 결과, 수십 개 사이트에서 SQL 인젝션 공격 프로그램은 물론 네트워크 해킹, 블루투스 해킹, 암호해제 프로그램 등 각종 해킹 공격 프로그램이 판매되고 있는 것으로 나타났다. 이렇게 판매되는 프로그램은 전문가가 아니라도 쉽게 해킹 공격을 할 수 있게 하며, 새로운 해킹 수법이 나올 때마다 빠르게 번지고 있다. 하지만 이 사이트들이 해외에 기반을 두고 있어 정부는 뾰족한 해결책을 찾지 못하고 있다.
이와 관련, 전문가들은 보안 프로세스를 빠르고 효율적으로 전환해 웹사이트들의 전반적인 보안수준을 높여야 한다고 지적했다.
염흥열 순천향대 교수(정보보호학과)는 "해킹과 악성코드를 적발, 판정해 해당 사이트 관리자에게 통보하고 조치를 취하는 절차가 더 빠르게 처리되게 해야 한다"며 "정부의 노력만으로 모든 해킹과 악성코드를 막을 수 없는 만큼 민간분야와 더 긴밀하게 협력해야 한다"고 말했다.
또 임종인 고려대 정보경영전문대학원장은 "현재의 모니터링 방식은 한계가 있으며, 정보보호도 소방점검을 하듯이 점검기준을 만들어 점검해야 한다"며 "해킹과 악성코드가 매우 광범위한 만큼 일부 점검부문을 민간에 맡기고 정부가 이를 감독하는 방법도 고려해 볼 수 있을 것"이라고 말했다.
한편, 방통위와 KISA는 내년 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정을 통해 웹사이트 악성코드 삭제 요구에 대한 법적 근거를 마련하면 해킹과 악성코드에 대해 더 효과적으로 대응할 수 있을 것이라고 밝혔다.
KISA는 또 해킹 프로그램 유포에 대항하기 위해 침투방지 프로그램을 개발해 제공할 계획이라고 덧붙였다.
강진규기자 kjk@
◆사진설명:지속적인 해킹 방어 노력에도 불구하고 여전히 해킹 공격으로 인한 피해가 막대한 것으로 나타나고 있다. 28일 서울 삼성동에 위치한 보안전문기업인 이글루시큐리티의 직원들이 통합보안관제센터에서 해킹이나 바이러스 등의 사이버공격을 모니터링하고 있다.
사진=김민수기자 ultrartist@
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
관련기사
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0