¿ì´©, SQLÀÎÁ§¼Ç °ø°ÝÀ¸·Î º¸¾È¾÷ü º¸¾ÈÃë¾àÁ¡ ¾Ë¸®´Âµ¥ ÀÏÁ¶
ÀÚ¸¸ÇÏ°í ÀÖ´Â º¸¾Èº¥´õ»çµé¿¡°Ô ÀÏħ...'º¸¾È'¸» ÇÒ ÀÚ°ÝÀ» °®Ãç¾ß!
Ãë¾àÁ¡ °øÀ¯ ¾ÈµÇ´Â Çѱ¹...ÇØÄ¿µéÀº ¾Ë¾Æµµ ¡°½¬~½¬¡±
·ç¸¶´Ï¾Æ ÇØÄ¿ 'Unu'(¿ì´©)¿¡ ´ëÇÑ °ü½ÉÀÌ ³ô´Ù. ±¹³» ÇØÄ¿µéÀº ¡°À̸§Àº µé¾îºÃÁö¸¸ ±×·¸°Ô À¯¸íÇÑ ÇØÄ¿´Â ¾Æ´Ï´Ù¡±¶ó´Â ¹ÝÀÀµµ ÀÖ°í ¡°SQLÀÎÁ§¼Ç(injection) °ø°Ý¿¡ À־ ±²ÀåÇÑ ½Ç·Â°¡¡±¶ó´Â ¹ÝÀÀµµ ³ª¿À°í ÀÖ´Ù.
±×·²¸¸ÇÑ ÀÌÀ¯°¡ ÀÖ´Ù. ¿ì´©´Â ¿ÃÇØ µé¾î º¸¾È ºÐ¾ß¿¡¼ ¼¼°èÀûÀ¸·Î ½Ç·ÂÀ» ÀÎÁ¤¹Þ°í ÀÖ´Â Ä«½ºÆÛ½ºÅ°·¦, ºøµðÆæ´õ, ½Ã¸¸ÅØ µî ÀïÀïÇÑ ¹ê´õ»çµéÀ» SQLÀÎÁ§¼Ç °ø°ÝÀ¸·Î Á¦¾ÐÇ߱⠶§¹®ÀÌ´Ù. ¶Ç Áö³´Þ 27ÀÏ¿¡´Â ±¹³» ¾÷ü·Î À×Ä«ÀÎÅÍ³Ý B2C °í°´Áö¿ø À¥»çÀÌÆ®¸¦ SQLÀÎÁ§¼Ç °ø°ÝÀ¸·Î ÇØÅ·ÇÑ ¹Ù ÀÖ´Ù. °ü·Ã ³»¿ëµéÀº ±×ÀÇ ºí·Î±×¿Í ¿Ü½Å µî¿¡ ¿Ã¶ó¿Í ÀÖ´Ù.
ÇØ¿Ü¿¡¼µµ ÇØÄ¿ ¡®¿ì´©¡¯¿¡ ´ëÇÑ ÆòÆǵéÀÌ ³ª¿À°í ÀÖ´Ù. ¿ì´©´Â ÀÚ½ÅÀ» ¡®À±¸®Àû ÇØÄ¿¡¯¶ó°í ĪÇÏÁö¸¸ °´°üÀûÀ¸·Î ºÃÀ» ¶§ ±×´Â ¡®grey hat hacker¡¯¶ó´Â ÆòÀ» ¹Þ°í ÀÖ´Ù.
¡®±×·¹ÀÌ ÇØÄ¿¡¯´Â ÈÀÌÆ® ÇØÄ¿¿Í ºí·¢ ÇØÄ¿ÀÇ Áß°£Àû À§Ä¡¿¡ Á¸ÀçÇÑ´Ù. ±¹³» ¸ð À¯¸í ÇØÄ¿´Â ¡°±×·¹ÀÌ(grey)´Â Ãë¾àÁ¡À» ¹ß°ßÇÏ°í °ø°ÝÄڵ带 ¸¸µé¾î °ø°Ý½ÇÇà±îÁö ¿Ï·áÇÑ ÈÄ °ø°Ý ½ÇÇàÄÚµå´Â »©°í Ãë¾àÁ¡¸¸ °ø°³ÇØ º¸¿ÏÇÒ ¼ö ÀÖµµ·Ï Á¶Ä¡ÇÏ´Â Á¤µµ·Î º¼ ¼ö ÀÖ´Ù¡±¸ç ¡°¾Æ¸¶µµ ´ëºÎºÐ ÇØÄ¿µéÀÌ ÈÀÌÆ®¿Í ±×·¹ÀÌ »çÀÌ Á¤µµ¿¡ À§Ä¡ÇØ ÀÖÁö ¾ÊÀ»±î »ý°¢ÇÑ´Ù¡±°í ¸»Çß´Ù.
¿ì´© ¶ÇÇÑ ¿©·¯ »çÀÌÆ®ÀÇ À¥ Ãë¾àÁ¡À» ã¾Æ³»°í ÀÌ¿¡ ´ëÇÑ °ø°ÝÀ» °¨ÇàÇÏ°í È®ÀÎÇÑ ÈÄ, ÀÚ½ÅÀÇ ºí·Î±× µî¿¡ °ø°³Çß´Ù´Â Á¡¿¡¼ ±×·¹ÀÌ ÇØÄ¿¶ó ÇÒ ¼ö ÀÖ´Ù. ¸í¹éÇÑ °ÍÀº ±×°¡ Å©·¡Ä¿(ºí·¢)¿Í °°ÀÌ °í°´ DB¸¦ »©³» 3ÀÚ¿¡°Ô ÆȰųª Ãë¾àÁ¡À» ÀÌ¿ëÇØ µ·À» ¿ä±¸ÇÏ´Â µî ¡®»çÀ̹ö °»½ºÅÍ¡¯ÀûÀÎ Àι°Àº ¾Æ´Ï¶ó´Â °ÍÀÌ´Ù.
±×´Â ÀÚ½ÅÀÇ ºí·Î±×¿¡ ¡°º¸¾È¾÷üµéÀÌ Á¤ÀÛ ÀڽŵéÀÇ Ãë¾àÁ¡Àº °£°úÇÏ°í ÀÖ°í DB°ü¸®µµ ¾û¸ÁÀÌ´Ù. ±×·¡¼¾ß º¸¾È¾÷ü·Î¼ ¸íºÐÀÌ ¼´Â°¡. Á¶½ÉÇ϶󡱴 °æ°í ¸Þ½ÃÁö¸¦ Áö¼ÓÀûÀ¸·Î ÀüÇÏ°í ÀÖ´Ù.
¿ì´©ÀÇ ÃÖ±Ù Ãë¾àÁ¡ °ø°³ ÇàÀûÀ» »ìÆ캸ÀÚ.
¡Þusa.kaspersky.com ÇØÅ·=Áö³ 2¿ù 9ÀÏ ¡®usa.kaspersky.com¡¯(¹Ì±¹ Ä«½ºÆÛ½ºÅ°) »çÀÌÆ®°¡ ·ç¸¶´Ï¾Æ ÇØÄ¿ 'Unu'(¿ì´©/ ÇØÄ¿ÀÇ ¿Â¶óÀÎ ´Ð³×ÀÓ)¿¡ ÀÇÇØ ÇØÅ·À» ´çÇØ ´ë·®ÀÇ µ¥ÀÌÅÍ°¡ ³ëÃâµÇ´Â »ç°ÇÀÌ ¹ß»ýÇß´Ù. ±×´Â 2¿ù 9ÀÏ ¹ã ´Ê°Ô ÇØ´ç »çÀÌÆ®¿¡ SQLÀÎÁ§¼Ç(injection) °ø°ÝÀ» ½ÃµµÇØ ÇØÅ·¿¡ ¼º°øÇß´Ù°í ¹àÇû´Ù.
±× °ø°ÝÀ¸·Î ±×´Â È°¼ºÈ ÄÚµå¿Í À¯Àú Á¤º¸, ¹ö±× ¸®½ºÆ® µîµîÀ» º¼ ¼ö ÀÖ¾ú´Ù°í ÇßÀ¸¸ç ¸Å°³º¯¼ö Çϳª¸¸ ¹Ù²ãµµ À¯Àú Á¤º¸¿Í È°¼ºÈ ÄÚµå, °ü¸®ÀÚ, ¼ó Á¤º¸±îÁö ¸ðµç °Í¿¡ ¾×¼¼½º°¡ °¡´ÉÇß´Ù°í ¸»Çß´Ù. µ¡ºÙ¿© ±×´Â ½ÃÅ¥¸®Æ¼¿Í ¾ÈƼ¹ÙÀÌ·¯½º ºÐ¾ß¿¡¼ À̸§ÀÖ´Â ±â¾÷ÀÌ Á¤ÀÛ ÀڽŵéÀÇ µ¥ÀÌÅÍ º£À̽º¸¦ º¸È£Çϴµ¥´Â ¼ÒȦÇß´Ù°í ²¿Áý¾ú´Ù.
¡ÞÀ¯·´ ING, Dexia, HSBC ÇØÅ·=Áö³ 9¿ù ±×´Â SQLÀÎÁ§¼Ç °ø°ÝÀ» ÀÌ¿ëÇØ À¯·´ÀÇ ´ëÇü ±ÝÀ¶»çÀÎ ING, Dexia ±×¸®°í HSBC µîÀ» ÇØÅ·ÇÑ ¹Ù ÀÖ´Ù.
¿ì´©´Â º§±â¿¡ ING ±âÇÁÆ®¼ó À¥»çÀÌÆ®ÀÇ Ãë¾àÁ¡À» °ø°ÝÇØ °ü¸®ÀÚ °èÁ¤À» Æ÷ÇÔÇÑ ÇØ´ç À¥»çÀÌÆ®ÀÇ ¸ðµç °èÁ¤ Æнº¿öµå¸¦ ¾Ë¾Æ³Â°í ÀÌ¿ëÀÚ À̸ÞÀÏ°ú Ç®³×ÀÓ Á¤º¸ µîµµ ¾Ë¾Æ³Â´Ù. ¶Ç ¼¹ö¿¡ PHP ½©À» ¾÷·Îµå ÇÒ ¼ö ÀÖ´Ù°í ÁöÀûÇß´Ù.
º§±â¿¡¿¡ À§Ä¡ÇÑ º¸Çè »çÀÌÆ®ÀÎ Dexia »çÀÌÆ®µµ ±×ÀÇ °ø°Ý¿¡ ¹«³ÊÁ³´Ù. ¿ì´©´Â µ¿ÀÏÇÑ ¹æ¹ýÀ¸·Î DexiaÀÇ Ãë¾àÁ¡À» °ø°ÝÇß°í ´ë·®ÀÇ µ¥ÀÌÅÍ º£À̽º¿¡ Á¢±ÙÇß´Ù. ¹°·Ð ÀÌ¿ëÀÚµéÀÇ Á¤º¸¿Í Æò¹® Æнº¿öµå¸¦ »©³» ¿Ã ¼ö ÀÖ´Ù´Â °ÍÀ» È®ÀÎÇß´Ù.
HSBC France À¥»çÀÌÆ®µµ ´çÇß´Ù. ¿ì´©´Â ÇØ´ç »çÀÌÆ®ÀÇ ¸ðµç µ¥ÀÌÅÍ º£À̽º Á¢±Ù ±ÇÇÑÀ» ȹµæÇßÀ¸¸ç ÆÄÀÏ ½Ã½ºÅÛ¿¡ Á¢±Ù±ÇÇѵµ ¾òÀ» ¼ö ÀÖ¾ú´Ù. ¶ÇÇÑ SQLÀÎÁ§¼Ç °ø°ÝÀ¸·Î Àüü ¼¹ö(MS SQL)¿¡ ¼Õ»óÀ» ÀÔÈú ¼ö ÀÖ´Â Ãë¾àÁ¡µµ ¹ß°ßÇß´Ù.
¿ì´©´Â Ãë¾àÁ¡À» ÀϹݿ¡ °ø°³ÇÏ´Â ÀÌÀ¯¿¡ ´ëÇØ ¡°±â¾÷ÀÌ ÀڽŵéÀÇ ½Ã½ºÅÛÀ» º¸È£Çϱâ À§ÇØ ´õ ¸¹Àº º¸¾ÈÅõÀÚ¸¦ ÇØ¾ß ÇÑ´Ù´Â ÀǽÄÀ» Àϱú¿ö ÁÖ±â À§ÇÑ °Í¡±À̶ó°í ¹àÈ÷°í ÀÖ´Ù.
¡ÞYahoo! Áö¿ª Åä·Ð°Ô½ÃÆÇ ÇØÅ·=8¿ù¿¡ ±×´Â ¾ßÈÄ°¡ 2007³â ¼ºñ½ºÇÑ Áö¿ª Ä¿¹Â´ÏÄÉÀÌ¼Ç »çÀÌÆ®¸¦ SQLÀÎÁ§¼Ç°ú cross-site scripting (XSS) Ãë¾àÁ¡À» ÀÌ¿ëÇØ °ø°ÝÇß´Ù. ÀÌ °ø°ÝÀ¸·Î °ü¸®ÀÚ¿Í ÀÌ¿ëÀÚÀÇ °èÁ¤ Á¤º¸¸¦ ÀÐÀ» ¼ö ÀÖ¾ú°í ¼¹ö(MySQL 5 server)¿¡ ½©À» ¾÷·ÎµåÇÒ ¼öµµ ÀÖ¾ú´Ù. »Ó¸¸ ¾Æ´Ï¶ó ¾ßÈÄ ÀÌ¿ëÀÚµéÀÇ ID, ÁÖ¼Ò, ±¹°¡, À̸ÞÀÏ Á¤º¸»Ó¸¸ ¾Æ´Ï¶ó ¼¹ö¿¡ load_file±îÁö °¡´ÉÇÏ´Ù´Â °ÍÀ» ¹àÇô³Â´Ù.
±×´Â ¡°ÀÌ »çÀÌÆ®¿¡¼ ¿ì¸®°¡(¿ì´©ÀÇ ÇØÅ·ÆÀ) ¿øÇÏ´Â ¸ðµç °ÍÀ» ÇÒ ¼ö ÀÖ¾ú´Ù. ½© ¾÷·Îµå, ¸®´ÙÀÌ·ºÃ÷, Æ®·ÎÀ̸ñ¸¶ µå·Ó, ½ÉÁö¾î »çÀÌÆ® Àüü¸¦ Æı«ÇÒ ¼öµµ ÀÖ¾ú´Ù¡±¸ç ¡°ÀÌ·¯ÇÑ À§ÇèÇÑ Ãë¾àÁ¡¿¡ ´ëÇØ ¾ßÈÄ Ãø¿¡ ¸ðµÎ ¸»ÇØÁá´Ù¡±°í ¹àÇû´Ù.
¡ÞÀϺ» ½Ã¸¸ÅØ »çÀÌÆ® ÇØÅ·=11¿ù 23ÀÏ ÀϺ» ½Ã¸¸ÅØ »çÀÌÆ®°¡ ¿ì´©ÀÇ ºí¶óÀεå SQLÀÎÁ§¼Ç °ø°Ý¿¡ ¶Õ·È´Ù. ±×´Â ¡°off-the-shelf tools (Pangolin and sqlmap)À» »ç¿ëÇØ ½Ã¸¸ÅØ ¼¹öÀÇ ¸ðµç °èÁ¤¿¡ Á¢±ÙÀÌ °¡´ÉÇßÀ¸¸ç ¼¹ö¿¡ ÀúÀåµÈ ¸¹Àº ¹Î°¨ÇÑ µ¥ÀÌÅ͵鿡 Á¢±Ùµµ °¡´ÉÇß´Ù¡±¸ç ¡°½Ã¸¸ÅØÀÇ ³ëÅÏÀÌ ¿ì¸®¸¦ ¸·¾Æ Áֱ⠿øÇßÁö¸¸ ±×µéÀº ÀڽŵéÀÇ µ¥ÀÌÅͺ£À̽º¸¦ ÁöÅ°Áö ¸øÇß´Ù¡±°í ÁöÀûÇß´Ù.
¡ÞÀÌ¿Ü¿¡µµ ¿©·¯ »çÀÌÆ® ÇØÅ·=¿ì´©´Â ¿µ±¹ ¡®The Telegraph¡¯»ç¿Í ¡®British Telecom¡¯ »çÀÌÆ®¸¦ ÇØÅ·ÇØ È¨ÆäÀÌÁö¸¦ ¼Õ»ó½ÃŲ ¹Ù ÀÖÀ¸¸ç ¿µ±¹ ÀÇȸ »çÀÌÆ®¿Í National Lottery »çÀÌÆ® ±×¸®°í ¾ÈƼ¹ÙÀÌ·¯½º ¾÷üÀÎ F-secure, BitDefender, Çѱ¹ÀÇ À×Ä«ÀÎÅÍ³Ý B2C °í°´Áö¿ø À¥»çÀÌÆ® µîµµ SQLÀÎÁ§¼Ç Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý¹æ¹ýÀ» ÅëÇØ Áß¿ä µ¥ÀÌÅͺ£À̽ºµéÀÌ ³ëÃâµÉ ¼ö ÀÖ´Ù´Â °ÍÀ» °ø°³Çß´Ù.
±×´Â ¸ðµç ÇØÅ· °úÁ¤¿¡ ´ëÇØ ½Å·Ú¼ºÀ» ÁÖ±â À§ÇØ ÀÚ½ÅÀÇ ºí·Î±×¿¡ ½ºÅ©¸°¼¦À¸·Î Áõ¸íÇÏ°í ÀÖ´Ù. ÇÏÁö¸¸ Á¤È®ÇÏ°Ô ¾î¶»°Ô °ø°ÝÀ» ÇÏ´ÂÁö ±× ¹æ¹ý¿¡ ´ëÇؼ´Â ±¸Ã¼ÀûÀ¸·Î ¸»ÇØÁÖÁö ¾Ê°í ÀÖ´Ù. ¹°·Ð ¾Ç¿ëµÉ ¼ÒÁö°¡ Àֱ⠶§¹®ÀÌ´Ù.
"Unu"´Â ÇØÄ¿½º ºí·Î±×·Î ¾Ë·ÁÁø ·ç¸¶´Ï¾ÆÀÇ À±¸®Àû ÇØÅ·±×·ìÀÇ ÀÏ¿øÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ÀÌ ±×·ìÀº ¼¼°èÀûÀ¸·Î ÁÖ¿äÇÑ »çÀÌÆ® »Ó¸¸ ¾Æ´Ï¶ó ¸î ¸î ¾ÈƼ¹ÙÀÌ·¯½º º¥´õ»çµéÀÇ À¥»çÀÌÆ® SQLÀÎÁ§¼Ç Ãë¾àÁ¡À» Áö¼ÓÀûÀ¸·Î ¹àÇô³»°í °øÁöÇÏ°í ÀÖ´Ù.
¡°Ãë¾àÁ¡? ¾÷ü¿¡ ¸ÕÀú ¸»ÇÏÁö!¡±...Çѱ¹ º¸¾ÈÇö½Ç ¸ð¸£´Â ¼Ò¸®
ÇÑÆí Çѱ¹¿¡¼´Â ¿ì´©ÀÇ Ãë¾àÁ¡ ¹ßÇ¥ ¹æ¹ýÀ» µÎ°í ¸»µéÀÌ ¸¹´Ù. ȤÀÚ´Â ¡°Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¸é ÇØ´ç ¾÷ü¿¡ ¿ì¼± ¾Ë·Á¾ß ÇÑ´Ù¡±°í ¸»ÇÑ´Ù. ÇÏÁö¸¸ ±×°Ç Çѱ¹ÀÇ Çö½ÇÀ» ¸ð¸£°í ÇÏ´Â ¸»À̶ó´Â ¹ÝÀÀÀÌ ¸¹´Ù.
¿ì¼± Çѱ¹ »çȸ´Â Ãë¾àÁ¡À» ¾Ë·ÁÁÖ´Â °Í¿¡ ´ëÇØ »ö¾È°æÀ» ³¢°í º»´Ù´Â °ÍÀÌ´Ù. ¸ð À¯¸í ÇØÄ¿´Â ¡°ÇØ´ç ¾÷ü¿¡ Ãë¾àÁ¡ ¾Ë·ÁÁá´Ù°¡ ±×°É ´ç½ÅÀÌ ¾î¶»°Ô ¾Ë¾Ò³Ä¸ç ¿ÀÈ÷·Á ¿åÀ» ¸Ô¾ú´Ù. ±×¸®°í ¾Ë·ÁÁ൵ °í¸¶¿öÇÒ ÁÙµµ ¸ð¸£°í Á¦´ë·Î ¼öÁ¤ÀÌ µÆ´ÂÁö ´äº¯µµ ¾ø´Ù¡±°í ÁöÀûÇÏ°í ÀÖ´Ù.
±×·¡¼ ±¹³» ÇØÄ¿µéÀº ´ëºÎºÐ Ãë¾àÁ¡À» È¥ÀÚ¸¸ ¾Ë°í ¼û°Ü¹ö¸®°Å³ª ÇØ¿Ü À¯¸í º¸¾È»çÀÌÆ®¿¡ ´Ð³×ÀÓÀ¸·Î ¿Ã¸®°í ÀÖ´Â °ÍÀÌ Çѱ¹ º¸¾ÈÀÇ Çö½ÇÀÌ´Ù. ±×·¡¼ ±â¾÷°£ ±â°ü°£ Á¤º¸°øÀ¯°¡ ¾ÈµÇ°í °è¼Ó »ì¾ÆÀÖ´Â Ãë¾àÁ¡ ¶§¹®¿¡ °ø°Ý¹Þ°í ¶Ç °ø°Ý¹Þ°í ÀÖ´Â »óȲÀÌ´Ù.
ÇØÄ¿¿¡°Ô ¡°¿Ö ¾÷ü¿¡ ¸ÕÀú ¾Ë·ÁÁÙ °ÍÀÌÁö Àڱ⠺í·Î±×³ª ¾ð·Ð¿¡ °ø°³ÇÏ´À³Ä¡± Å¿Çϱâ Àü¿¡ ¿ì¸® »çȸ°¡ ±×·¯ÇÑ ¿ÀÇÂµÈ ¹®È°¡ Çü¼ºµÅ ÀÖ³ª¸¦ »ìÆìºÁ¾ß ÇÑ´Ù.
º¸¾ÈÁ¤º¸ °øÀ¯ °úÁ¤¿¡¼ ¹®Á¦°¡ ÀÖ´Ù¸é ±¹°¡ Àü¹ÝÀûÀÎ º¸¾Èȯ°æ °³¼±À» À§Çؼ¶óµµ ÇØÄ¿¿Í º¸¾È´ã´çÀÚ ±×¸®°í Á¤ºÎ°¡ ³ª¼ Çϳª¾¿ °³¼±ÇØ ³ª°¡´Â ³ë·ÂµéÀÌ ÇÊ¿äÇÒ °ÍÀÌ´Ù.
[±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>