MS, SQL Injection 취약점 분석 도구 발표

ASP를 통한 SQL Injection 공격 줄어들 전망

ASP 취약점 코드 수정 요망

마이크로소프트(Microsoft)는 지난 6월 24일 ASP 코드에서 SQL Injection 공격 취약점을 찾을 수 있는 도구를 발표했다. 이는 최근 SQL Injection에 따른 다량의 악성코드가 배포됨에 따른 마이크로스프트의 강력한 대응방법으로 풀이된다.

이에 따라 마이크로소프트사의 웹 서버 IIS(Internet Infomation Service)에 사용되는 ASP를 이용한 공격이 줄어 들 것으로 예상된다.

Mass SQL Injection이란 MS-SQL의 취약점을 공격 대상으로 하고 있으며 ASP가 사용중인 IIS를 주 타깃으로 대량 공격하고 있다. 취약점이 있는 MS-SQL 서버의 테이블 중 varchar 컬럼인 것만 노려서 악성스크립트를 삽입하므로 취약점 코드의 빠른 수정이 요구된다.

Mass SQL Injection 공격쿼리 형태 (MS-SQL)

위와 같은 Varchar 컬럼의 게시물을 변조함으로써 악성코드가 삽입되어 2차, 3차 연이은 공격에 사용된다.

http://support.microsoft.com/kb/954476

이 도구는 마이크로소프트 홈페이지에서 다운로드가 가능하다.

www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA (www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA)

ASP 코드의 SQL 삽입 공격 문제

ASP 코드의 Request.Form 또는 Request.Querystring 컬렉션에서 사용자가 제공한 데이터가 데이터 유효성 검사 없이 동적 SQL 문을 만드는 데 사용되는 경우 공격자가 SQL 명령을 SQL 문에 삽입하고 악용할 수 있다. 이를 일반적으로 1차 SQL 삽입 공격 취약점이라고 한다.

한 ASP 페이지를 사용하여 데이터베이스에 저장된 사용자 입력이 데이터베이스에서 검색된 다음 다른 ASP 페이지에서 동적 SQL 문을 만드는 데 사용되는 경우 공격자가 SQL 명령을 SQL 문에 삽입하고 악용할 수 있다. 이를 일반적으로 2차 SQL 삽입 공격 취약점이라고 한다.

이러한 취약점을 줄이려면 매개 변수가 있는 SQL 쿼리를 사용하는 것이 가장 좋다. ASP의 SQL 삽입 공격 취약점과 이러한 취약점을 줄이는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하면 된다.

http://msdn.microsoft.com/en-us/library/cc676512.aspx (http://msdn.microsoft.com/en-us/library/cc676512.aspx)(영문)

Microsoft Source Code Analyzer for SQL Injection 도구는 이러한 문제 중 일부를 자동으로 찾는 데 도움이 된다.

[강성민 객원기자(reporter@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)