세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
SQL 인젝션 공격을 모바일에서 가능케 해주는 툴 등장
  |  입력 : 2017-07-13 16:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존 취약점 스캐너 툴과 텔레그램 합쳐진 새로운 툴
지하 시장에서 큰 호응 이끌어...쓰기 쉽고 값도 높지 않아


[보안뉴스 문가용 기자] 낫지 않는 감기처럼 SQL 인젝션 문제가 계속해서 디지털 환경을 병들게 하고 있다. 언제나 나을지, 이 긴 병의 끝은 보이지 않는다. 게다가 최근 보안 전문 업체 레코디드 퓨처(Recorded Future)는 최근 이 SQL 인젝션 취약점을 노리는 새로운 공격 툴을 발견하기까지 했다. SQL 인젝션 공격을 더욱 쉽게 만들어주는 툴이라고 한다.

[이미지 = iclickart]


이 툴의 이름은 카추샤 스캐너(Katyusha Scanner)인데, 오픈소스 침투 테스트 툴인 아나키 스캐너(Anarchi Scanner)에다가 텔레그램(Telegram)이라는 클라우드 기반 암호화 통신 메시지 앱을 결합한 것이라고 한다. “이 둘을 합했을 때 나타나는 효과는 1) 넓은 범위를 스캔할 수 있다는 것이고 2) 모바일 기기만으로도 이러한 공격을 할 수 있다는 것입니다.”

이 두 가지 장점을 공격자 시점에서 다시 풀어보면 1) 공격하는 데 드는 비용이 싸고 2) 인터페이스가 간단해 사용이 쉽고, 3) 업데이트도 자주 된다는 것이다. “게다가 이 툴을 판매하는 자들의 고객 서비스 수준도 꽤나 높은 것으로 보입니다.” 카추샤 스캐너의 가격은 프로 버전이 50만원 정도이고, 라이트 버전은 25만원, SaaS 모델은 한 달에 20만원이다.

고객들의 반응도 굉장히 좋은 편이다. “어떤 범죄자 고객은 이 툴의 성능에 대해 엄청난 칭송을 하고 있더군요. 사용을 시작하자마자 웹 서버 8개에 침투할 수 있었다면서 말이죠. 게다가 판매자가 구매자의 서버 환경에 맞게 환경설정도 해주는 등 서비스 자체가 남달랐다고 증언했습니다. 추천하는 후기 댓글들도 많았고요.” 레코디드 퓨처의 안드레이 바리세비치(Andrei Barysevich)가 설명한다.

SQL 인젝션 공격은 보안에 조금만 발을 담가 본 사람이라면 다 들어본, 유명하고 보편적인 공격 방법이다. 현재까지 약 20년 동안 보안 담당자들을 괴롭혀 온 장본이기도 하다. 그럼에도 꾸준히 기승을 부리고 있으며, 여전히 자주 발견된다.

“SQL 인젝션 취약점은 믿기 힘들 정도로 여기 저기 존재합니다. 너무 많은 애플리케이션들에서 발견돼요.” 화이트햇 시큐리티(WhiteHat Security)의 부회장 라이언 올리어리(Ryan O’Leary)가 설명한다. “이미 숱하게 발생한 데이터베이스 침해 사고 대부분 SQL 인젝션 취약점으로부터 발생한 겁니다. 공격자들도 이를 잘 알고 있으며, 그래서 이를 자주 활용하는 편입니다. 게다가 익스플로잇도 꽤 쉬워요.”

SQL 인젝션 취약점이 꾸준히 발생하는 이유는 완전히 고치기가 쉽지 않고 시간이 꽤 걸린다는 특성과, 애플리케이션 개발에 익숙하지 않은 새내기들이 끊임없이 새로운 SQL 취약점을 추가시킨다는 것이다. 그것도 매일.

지난 달 보안 업체 트립와이어(Tripwire)는 개발자들이 SQL 문제를 자꾸만 추가시킨다는 점을 구체적으로 연구해 그 결과를 발표했다. 프리랜서 웹 디자인 시장으로 들어가 간단한 워드프레스 사이트를 만들어달라고 의뢰를 한 것이었다. 약 스무 건의 의뢰를 진행했는데, 모든 프로젝트에서 SQL 인젝션 취약점이 나왔다고 한다. “해커 입장에서 공격하기 아주 쉽게 웹 사이트가 만들어져 있더군요.”

이 사실을 사이버 범죄자 및 공격자들이 모를 리 없다. 그렇기에 카추샤 스캐너가 불티난 듯 팔리는 것이다. “이미 널리 알려진 분야라고 간과해서는 안 됩니다. 공격자들 역시 더 쉽고 더 효율적으로 공격하려고 계속해서 머리를 굴리고 있거든요. 공격하고 방어한다는 건 결국 비용의 문제에요. 누가 더 싸게 해서 많이 남기나. 이 취약점을 내가 알거나 모르거나의 문제가 결코 아닙니다.”

그렇기에 ‘남들이 모르는 걸 내가 먼저 알아냈다’가 보안 전문가의 할 일이 아니라 ‘공격자의 비용을 어떻게든 높이는 게’ 목표가 되어야 한다고 올리어리는 설명한다. “그래서 아예 코딩을 안전하게 하도록 장려하고 교육해야 하는 겁니다. 처음 개발 단계 때부터 단단하게 만들어진 게 가장 공격하기 힘들고 비싸거든요. SQL 인젝션 공격이 ‘효율성 좋은 공격’이라는 걸 기억해야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#SQL   #인젝션   #공격   #비용   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)