.gif)
“국내 사이트 대부분 SQL 인젝션과 XSS 공격에 취약해”
세계 최대 글로벌 기업중 하나인 마이크로소프트사의 웹사이트에서 SQL 인젝션 취약점이 발견됐다는 내용(moonslab.com/930)이 문스랩 블로그에 게재됐다. 대규모 보안인력을 갖추고 있는 글로벌 기업의 웹사이트에서도 이러한 취약점이 발견되는 것을 보면, 하물며 국내 웹사이트들이 얼마나 취약한 상황에 놓여있을지는 불 보듯 뻔하다.
개인정보 유출에 따른 사회적 불안감이 크다. 개인정보 유출의 가장 큰 원인은 바로 웹사이트 취약점을 관리하지 않은데서 기인한다. 최근 발간된 OWASP Top 10 2010년 판에서도 이러한 경향을 반영하고 있다. 이 문서에 따르면 웹사이트의 취약점 중 가장 수위를 달리고 있는 것이 바로 SQL 인젝션(Injection)과 XSS(크로스 사이트 스크립팅) 공격으로 나타났다.
<OWASP 2007년도와 2010년도 버전의 취약점 비교/ 문스랩 블로그 제공>
문스랩 블로그에 따르면 “SQL 인젝션 및 XSS 취약점은 웹 사이트의 취약점 가운데 가장 많은 영향력을 미치고 있으며 그 피해도 매우 심각하다. 최근에 발표된 IBM X-Force 2009 보안 경향 및 위험 보고서에 따르면 아래 도표와 같이 취약점의 약 40-50% 정도를 SQL 인젝션과 XSS 취약점이 차지하고 있다”며 “이 두가지 취약점을 해결하기 위해 보안 업계에서는 다양한 노력을 수년째 지속하고 있다. 웹 관련 취약점을 막기 위해서는 다음과 같은 조치가 요구된다”고 밝혔다.
◇보안 프로그래밍(Secure Programming)
◇ WAF(Web Application Firewall) 도입 및 운영
◇꾸준한 보안 점검(Q/A) 및 툴 이용
이 중 WAF와 같은 경우는 국내·외에 다양한 제품이 판매되고 있지만 웹 취약점을 해결하기 위해서는 웹 소스 코드에 대한 초기 개발시에 보안에 입각한 프로그래밍이 진행되어야 한다. 즉, 웹 소스를 고치지 않고서는 웹 취약점을 막을 수 없다는 것이다.
그 예로 문스랩 블로그는 “WAF를 설치하여 현재 안전하게 웹사이트를 보호하고 있더라도 새로운 웹 취약점이나 공격 방법이 나타났을 때에는 무용지물이 될 가능성이 높다. 따라서 개발시 웹 소스에 대한 보안 검토가 반드시 필요하다”고 강조했다.
웹 사이트는 정적으로 유지되는 것이 아니라 새롭게 페이지가 추가되고, 제거되는 성질을 지니고 있다. 따라서 이벤트와 같이 웹 사이트 내에 새로운 페이지가 추가되는 경우에는 기존 웹사이트에 취약점이 없더라도 새롭게 추가될 가능성이 크다는 이야기다.
그렇다면 어떻게 취약점 관리를 해야 할까. 문스랩 블로그는 “웹 개발 프로젝트가 진행될 때에는 정기적으로 Q/A 및 보안 검수를 거치고 문제점이 발견될 때에는 이 문제점에 대한 원인 및 해결책을 프로그래머 및 PM 등이 충분히 검토하고 이해해야만 문제점을 해결할 수 있으며 장차 새로운 개발 과정이 진행되더라도 취약점이 있는 웹 소스를 개발하는 실수를 줄일 수 있다”고 조언했다.
반면, 웹 사이트가 방대한 경우라면 어떨까. 웹 사이트의 보안 검토에 많은 인력과 시간, 그리고 경비가 필요할 것이다. 또한 웹 취약점을 점검해 찾아내는 수많은 웹 스캐너들이 판매 및 무료로 제공되고 있지만, 사이트가 커질수록 이 툴을 이용해 보안을 검토하기에는 시간적으로나 툴 기능의 한계 등으로 인해 사용하기 어려운 것이 현실이다.
문스랩 블로그는 이러한 문제점을 마이크로소프트(Microsoft) 웹사이트 취약점을 예로 들어 설명하고 있다.
“아마도 MS는 국가별로 수많은 웹사이트를 운영하고 있을 것이며 이들 사이트를 관리하는 데에는 엄청난 인력과 비용이 들 것”이라며 “이렇게 큰 규모로 운영되는 웹사이트에서는 보안에 입각한 프로그래밍이 초기부터 진행되지 않는다면 아래의 화면과 같이 치명적인 취약점을 노출시킬 수밖에 없다”고 지적했다.
또 이 취약점에 대해 “웹 사이트 내에 포함되어 있는 데이터베이스에 바로 접속하는 아주 크리티컬한 문제는 아니지만, 그러한 공격 경로 및 기타 다른 방법으로 웹사이트를 공격할 수 있는 엔트리 포인트나 접근 경로로 이용될 수 있다는 점을 명심해야 한다”고 경고했다.
척박한 개발환경에서 생산되고 있는 국내 웹사이트들은 대부분 SQL 인젝션 취약점과 XSS 공격에 취약한 상태라고 전문가들은 말하고 있다. 네트워크 보안과 내부자 보안에 투자를 하는 것도 중요하지만 웹 취약점을 지속적이고 근본적으로 해결하지 않는다면 모든 것이 말짱 도루묵이란 것을 기업들은 알아야 한다.
[길민권 기자(reporter21@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)