Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.boannews.com/media/view.asp?idx=79780 

 특정 게시판 취약점 악용해 공격...DB 탈취 가능성도 배제 못해

SQL 인젝션 공격 예방 위해선 모든 입력값에 대한 적절한 검증절차 설계·구현

최근 특정 게시판 취약점을 악용한 대규모 SQL 인젝션(Injection) 공격이 발생해 국내 수많은 웹사이트가 피해를 입은 것으로 드러났다. 더욱이 현재까지 공격이 진행 중인 것으로 알려졌다. 

583384544_8817.JPG
▲SQL 인젝션 공격을 받은 홈페이지 게시판 화면[이미지=제로써트]

위협정보 공유 서비스 제로써트(ZeroCERT)에 따르면 평생교육원, 학교, 학회, 연합회, 학원 홈페이지 등 수많은 불특정 웹사이트가 공격을 받은 것으로 확인됐다. 

현재 해커들은 특정 게시판 취약점을 악용해 특정 홈페이지의 자유게시판, Q&A 코너 등의 게시판에 주로 ‘문의 드립니다’, ‘문의드려요’, ‘문의’ 등의 제목을 사용해 공격을 감행하고 있다. 

침해당한 홈페이지는 u6.gg, kks.me, uee.me 등 총 18개의 단축 URL이 삽입되어 있으며 국내 특정 회사의 호스팅 서버들이 정보 수집용으로 악용되고 있다는 게 제로써트 측의 설명이다. 

더욱이 침해당한 홈페이지에 삽입된 단축 URL들을 구글로 검색할 경우 엄청난 숫자가 검색되는 걸로 보아 피해 웹사이트가 매우 많을 것이라는 우려가 커지고 있다. 특히, 침해당한 웹사이트의 DB까지 탈취됐을 가능성도 배제할 수 없어 2차 피해 가능성까지 제기되고 있다. 

SQL 인젝션 취약점은 데이터베이스와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않아 발생하는 취약점으로, 취약한 웹 어플리케이션은 사용자로부터 입력된 값을 필터링 과정 없이 넘겨받아 동적 쿼리(Dynamic Query)를 생성한다. 이로 인해 개발자가 의도하지 않은 쿼리가 생성되어 정보 유출에 악용될 수 있고, 자칫하면 DB까지 통째로 탈취당할 수 있어 매우 심각한 취약점이라고 할 수 있다. 

이와 관련 제로써트 측은 “홈페이지 관리자들은 추가 악성코드 유포 등 피해가 발생할 수 있어 웹사이트 침해 유무와 함께 게시판 취약점 여부 등을 반드시 확인해야 한다”고 설명했다. 

이러한 SQL 인젝션 공격을 예방하기 위해서는 개발단계에서부터 모든 입력값에 대한 적절한 검증절차를 설계하고 구현해야 한다는 지적이다. 한국인터넷진흥원 인터넷침해대응센터(KrCERT)에서도 SQL 인젝션 공격 대응방안으로 △데이터베이스와의 연동 부분에서는 동적 SQL을 사용하지 말고 저장 프로시저를 사용할 것 △개발단계에서부터 모든 입력값에 적절한 검증절차를 설계하고 구현할 것 △데이터베이스의 에러 메시지를 사용자에게 보여주지 않도록 차단할 것 △웹 방화벽을 활용할 것 △웹 보안 취약점에 대해 주기적으로 점검할 것 등을 제시했다. 

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

첫번째 댓글을 남겨주세요!

List of Articles

IT정보 구글 이어 MS도 거래 중단… 화웨이 `앱 생태계` 확보 비상

안드로이드·윈도 단절 큰 파장 스마트폰용 OS 상실에 충격파 구글 플레이스토어 이용 못해 포르투갈 앱토이드와 협력 논의 유럽서 판매 감소 이미 가시화 구글에 ...

  • 등록일: 2019-05-26

46

VIEWS

기타정보 삼성 TV 1대=샤오미 TV 3대..TV 시장 양극화 심화

삼성전자 2019년형 QLED TV Q900R삼성전자 TV 평균 판매가격이 중국 TV 대비 3배에 이르는 것으로 조사됐다. 세계 TV 시장이 프리미엄과 중저가로 양극화가 극명...

  • 등록일: 2019-05-26

44

VIEWS

IT정보 “5G 선점하라” 통신3사, 불꽃 경쟁

2019년 4월3일 국내 통신3사는 삼성전자 첫 5G 스마트폰 ‘갤럭시S10 5G’ 1호 가입자를 탄생시키며, 세계최초 5G 상용화의 종을 울렸다. 5G는 LTE보다 최대 20배 ...

  • 등록일: 2019-05-26

15

VIEWS

IT정보 벤처의 힘… 독자기술로 ‘기가급 칩셋’ 개발했다

지앨에스 양산 제품으로 출시 WIFI 비해 전송속도 10배 빨라 스마트폰·노트북 등 적용키로 지앨에스가 상용 제품으로 출시한 '징 칩셋'을 적용하면 가상현실, 증...

  • 등록일: 2019-05-26

22

VIEWS

IT정보 지난해 국내 ICT 산업 생산액 497조…역대 최대

[반도체 생산액 19.5% 증가…평판디스플레이는 5.4% 감소] /사진제공=과학기술정보통신부 지난해 국내 ICT(정보통신기술) 산업 생산액 규모가 500조원에 육박하며 ...

  • 등록일: 2019-05-26

11

VIEWS

윈도정보 국내 주요 인터넷 포털 사이트에서 액티브X 제품 취약점이 발견

국내 주요 인터넷 포털 사이트에서 액티브X 제품 취약점이 발견 돼 한국인터넷진흥원(KISA)이 해당 사실 확인 후 조치에 나섰다. 21일(현지시간) 리스크베이스드 ...

  • 등록일: 2019-05-26

21

VIEWS

일반정보 게임 '질병코드' 등재 확정… 韓 게임 '갈등' 불붙다

보건당국, 국내 질병코드 등재 절차 착수할 듯… 게임업계, '반대' 운동 나선다   '게임이용장애' 질병코드 소개 이미지. /출처=WHO.   세계보건기구(WHO)가 '게임...

  • 등록일: 2019-05-26

49

VIEWS

2

COMMENTED

MS소식 한국서 떼돈 벌고 특혜까지 달라는 ‘MS의 탐욕’ file

한국서 떼돈 벌고 특혜까지 달라는 ‘MS의 탐욕’ (MS)가 한국에서 벌어드리는 수익이 엄청나군요 디지털타임즈 기사중에서 [2014-09-24 기사] 보면 20...

  • 작성자: Op
  • 등록일: 2019-05-26

58

VIEWS

1

COMMENTED

유용정보 [긴급] 대규모 SQL 인젝션 공격으로 국내 웹사이트 무작위 해킹

 특정 게시판 취약점 악용해 공격...DB 탈취 가능성도 배제 못해 SQL 인젝션 공격 예방 위해선 모든 입력값에 대한 적절한 검증절차 설계·구현최근 특정 게시판 ...

  • 등록일: 2019-05-26

49

VIEWS

MS소식 [긴급] 윈도우 원격관리기능 ‘RDP’ 취약점 보안 업데이트 시급

 MS, 취약점 개선 업데이트 배포...위험성 감안해 기술지원 종료된 버전도 업데이트 제공 한국인터넷진흥원, MS 윈도우 원격관리기능(RDP) 취약점 예방 위한 보안...

  • 등록일: 2019-05-26

35

VIEWS

윈도정보 마이크로소프트의 윈도우 10 패치, 재시동 시 문제 일으켜

또 다시 나타난 업데이트의 문제...시스템 드라이버들에서 문제 발생 복구 모드로 들어가 문제 완화시키는 것 가능해...MS가 상세히 공개해 마이크로소프트가 윈...

  • 등록일: 2019-05-26

71

VIEWS

1

COMMENTED

일반정보 페이스북, 내년에 글로벌 암호화폐 발행한다 .

(서울=뉴스1) 송화연 기자 = 페이스북이 내년에 자체 암호화폐를 출시하고, 내년 1분기 중 약 12개 국가에 디지털 결제 시스템을 구축할 예정이다. 23일(현지시간...

  • 등록일: 2019-05-26

15

VIEWS

유용정보 '야생 진드기' 공포 확산, 감염되면 사망 위험… 예방법은

‘야생 진드기’ 공포가 커지고 있다. 충남, 경북, 제주도 등 전국적으로 환자가 계속 발생하고 있다.  '살인 진드기'라고 불리는 작은소참진드기. /조선DB 질병관...

  • 등록일: 2019-05-25

61

VIEWS

1

COMMENTED

기타정보 [과학핫이슈]희토류 전쟁

맨뒷줄 가운데 부터 시계방향으로 프라세오디뮴, 세륨, 란탄, 네오디뮴, 사마륨, 가돌리늄. 중국이 미국과의 무역전쟁에서 희토류를 무기로 사용할까. 최근 시진...

  • 등록일: 2019-05-25

30

VIEWS

일반정보 게임중독, 결국 ‘질병’으로...WHO 총회 만장일치 통과

2022년부터 194개 WHO 회원국 적용 정신적·행동적·신경발달 장애 영역 하위항목 포함 국내 게임업계와 학회 등 여러 단체의 우려에도 불구하고 게임중독이 결국 ...

  • 등록일: 2019-05-25

35

VIEWS

1

COMMENTED