올 상반기 웹 공격 통한 개인정보 유출 시도 급증

펜타시큐리티, ‘2012년 상반기 웹 공격동향 보고서’ 발표

[보안뉴스 김태형] 올 상반기 웹 공격 동향은 웹 공격을 통한 개인정보 유출 시도가 급증한 것으로 나타났다.

애플리케이션 보안 솔루션기업 펜타시큐리티시스템(대표이사/사장 이석우, www.pentasecurity.com, 이하 펜타시큐리티)은 ‘2012년 상반기 웹 공격동향 보고서’(Web Application Threat Report, Trends for the First Half of 2012)를 지난 21일 발표했다.

이번 보고서는 탐지로그에 대한 통계정보 제공에 동의한 고객으로부터 2012년 1월 1일부터 6월 30일까지 제공받은 통계정보 분석 내용을 담고 있다.

해당기간 동안 웹 공격의 주요 내용을 살펴보면 △웹 방화벽의 룰 탐지 기준탐지 건수가 3.1억 건을 넘어서면서 지난해 하반기 2.3억 건 대비 30% 이상의 탐지 건수가 증가했다. 이는 웹을 통한 공격이 급격하게 증가하고 있다는 것을 의미한다.

△와플(WAPPLES)의 룰 탐지 기준으로 웹 서버의 설정 데이터 혹은 취약한 파일로의 접근을 의미하는 Extension Filtering 공격이 24%로 가장 많았으며 이는 일반 사용자에게 접속이 허용될 경우 웹서버의 동작 불능, 기밀 정보의 누출 등으로 이어질 수 있는 위험이 있다.

△웹 공격의 목적으로는 웹 서버의 ‘취약성 파악’을 위한 공격이 54%로 지난해 하반기 62%에서 줄어들기는 했지만 가장 많은 비중을 차지했다. 특이할 만한 점은 개인적인 정보 유출을 위한 공격이 지난해 하반기 14%에서 20%로 크게 증가한 것이다.

정보유출은 사이트 내에 주민등록번호나 카드 번호와 같은 중요한 개인정보를 입력 또는 유출(Privacy input filtering, Privacy output filtering), 혹은 개인정보가 들어있는 파일을 임의로 업로드나 다운로드(Privacy file filtering) 하는 행위 등으로 개인정보가 유출되는 것을 의미한다.

펜타시큐리티 김덕수 연구소장은 “2012년 상반기에는 지난해 하반기보다 웹을 통한 공격이 빠르게 증가하고 있고 Database를 벗어나서 웹 애플리케이션 단에서 개인정보가 이만큼 탐지되었다는 것은 개인정보보호가 웹 애플리케이션 단에서도 반드시 이루어져야 한다”고 말했다.

또한 그는 “이 가운데 특히 주민등록번호나 카드번호와 같이 중요한 개인정보 유출을 위한 공격 시도가 급증하고 있어 악용된다면 심각한 개인적인 피해가 예상되어 개인정보 보호에 대한 보안대책이 강화되어야 할 것이다”라고 말했다.

이번 ‘2012년 상반기 웹 공격동향 보고서’는 펜타시큐리티 홈페이지(www.pentasecurity.com)내의 다운로드 센터에서 내려 받을 수 있다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)