2015년 하반기 웹 공격동향에서는 취약성 파악을 목적으로 한 공격이 많이 발생하였고, 공격 위험도가 ‘심각’으로 나타난 공격이 많았던 것으로 조사됐다.

특히 취약성 관련 정보를 통한 웹 사이트 공격과 관리자 권한 취득을 타깃으로 하는 공격이 빈번했으며, 이러한 공격은 같은 해 상반기에도 약 4억만 건의 공격 탐지 건수를 기록하며 1위를 차지했던 공격 유형이다.

이런 내용은 펜타시큐리티시스템(대표 이석우)가 2015년 하반기에 수집한 정보를 기반으로 한 ‘웹 공격 동향 보고서’(Web Application Threat Report)를 통해 밝혀졌다.

보고서에 따르면  OWASP(Open Web Application Security Project) Top 10 attacks 기준으는 A1에 해당하는 보안위험인 인젝션(Injection) 공격이 31%를 차지하여 가장 높은 순위를 기록했다. 해당 공격은 비교적 쉽게 공격시도가 가능한 공격이지만, 공격 난이도에 비해 기술적 영향도가 심각해 대응이 반드시 필요하다는 ㅈ적이다.

이어 26%로 2위를 기록한 공격은 보안설정오류(Security Misconfiguration)로 해당 공격은 시스템에 대한 권한을 공격자가 가질 수 있어 시스템 전체가 해킹 될 위험이 있는 공격이다. 

펜타시큐리티의 기획실장 김덕수 전무는 “이러한 웹사이트 공격 및 관리자 권한취득을 타깃으로 한 공격이 성공할 경우, 웹사이트 취약점이 노출되는 것과 더불어 기밀 정보들이 유출되고 웹서버가 동작 불능 상태가 될 수 있다.”라며, “각종 공격을 예방하기 위해 서버 및 보안 담당자는 강력한 접근제어를통해 권한 관리 수준을 관리해야 하고, 사전에 웹방화벽 솔루션을 구축해 웹공격 위협에 대비해야 한다.”라고 전했다.

조남욱 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지