지난 8월 하순에는 전세계가 아닌 국지적인 대규모 SQL 인젝션(Mass SQL Injection) 공격이 발생했습니다. 하지만, 국내의 피해가 적은 관계로 국내의 미디어에서는 별로 알려지지 않았습니다. 그 이유는 영문으로 된 웹 사이트를 공격 대상으로 삼았기 때문입니다.

하지만, 이번 Mass SQL 인젝션 공격을 좀더 자세하게 분석해 보면, 앞으로 발생할 수 있는 공격의 형태나 대상 등을 미리 짐작할 수 있습니다. 이에 대해 언급하고자 합니다.

이번 공격을 통해 약 21만 개의 웹 페이지가 감염되었으며, 공격을 주도한 IP는 중국발로 확인되었습니다. 기존 공격 형태에서는 전세계에 걸쳐 다양한 IP 주소들로부터 공격이 진행되었으나 이번 경우는 중국으로 국한되었다는 점이 참신(!)합니다. 공격을 주도한 서버는 약 60대 정도로 파악되고 있으며 대표적인 사이트는 http://a0v.org/, http://js.tongji.linezing.com 등이 있습니다만, 현재에는 모두 조치(!)가 된 상태입니다.

공격 방식은 두 단계로 진행됩니다.

1. 공격 대상 서버의 웹 페이지를 감염시킵니다. - <iframe> 형태의 코드를 웹소스에 삽입합니다.
2. 인터넷 사용자가 감염된 웹 페이지를 방문하는 동안에 자신의 컴퓨터에 악성 코드를 다운로드합니다.

놀라울만한 사실은 지난 8월 27일까지 악성코드를 다운로드한 횟수가 125만 번에 이른다는 점입니다.

지난 번에 국내에서도 DDOS 공격으로 인해 많은 어려움을 겪은 바 기억하실 것입니다. 이러한 DDOS 공격의 주요한 구성원은 바로 악성코드를 다운로드한 컴퓨터(봇)들입니다.

보통 1,000 대의 봇을 하나의 봇넷으로 간주합니다(주: 숫자에는 이견이 있을 수 있음) 따라서 감염된 댓수로 나눠보면 약 1000 개 이상의 봇넷이 새롭게 구축되었다는 것을 짐작할 수 있습니다.

이렇게 SQL 인젝션의 취약점을 이용하여 대규모로 봇넷을 구축할 수 있다는 사실이 실험적으로, 아니 성공적으로 밝혀졌습니다.

앞으로 강력한 봇넷이 구축된다면,
  • 스팸 메일 대량 발송
  • DDOS 공격의 대중화
  • 악성 코드의 대량 유포
  • 개인 정보(비밀번호, 은행 정보 등등)의 누출
  • 기타 알려지지 않은 새로운 형태의 공격
등등의 공격이 올해 후반기과 내년에 발생할 것으로 예상됩니다.

이러한 문제점을 대한 대비책은 그리 어렵진 않습니다. 먼저 웹 서버단에서 살펴 보면 SQL Injection 공격의 원인인 웹 소스 상의 매개변수의 검사(Sanitization)를 확실히 하고, 웹 애플리케이션 방화벽(WAF) 등을 도입하는 것입니다.

사용자 단에서 볼 때에는 윈도우의 최신 서비스 팩 및 보안 업데이트 적용과 충분한 성능을 제공하는 안티 바이러스 제품을 사용하는 것이라고 볼 수 있습니다.

감사합니다.

PS: 국내에서는 웹 사이트에서 Active-X 컨트롤을 자주 사용합니다. 만약 Active-X 형태로 동작하는 악성코드를 다운로드하여 설치하는(감염시키는) 공격 형태가 발생한다면 그 피해는 엄청날 것으로 예상됩니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory