728x90
개요
- 개인정보보호 및 정보보안 연구 기관인 Ponemon 연구소에서 기업이 SQL Injection에 대한 위협 및 관리
인식과 관련하여 분석 보고서를 발표 함
※ SQL Injection : URL 요청 또는 웹 요청에 포함되는 파라미터 값에 악의적인 SQL 구문이나 시스템 명령을
삽입하는 형태의 공격기법
주요내용
- 응답자 기업의 65%는 지난 1년간 SQL Injection 공격을 경험했다고 밝혔으며, 응답자의 절반(49%)은 SQL
Injection 위협이 회사의 자산에 심각한 영향을 끼칠 수 있다고 답함
- 악의적이거나 잘못된 SQL 쿼리문을 발견하는데 걸리는 시간은 평균 140일 정도이며, 이를 수정하기
위한 작업에는 추가적으로 68일정도 소요
< 1년간 SQL Injection 경험(위) SQL Injection에 대한 위협 심각성 정도(아래) >
- SQL Injection 공격의 근본 원인을 이해하는 것이 가장 효과적인 예방책이라고 생각하고 있음
- 그러나 응답자의 56%는 모바일 디바이스(BYOD)를 활용한 업무가 증가하고 있기 때문에 SQL Injection
공격의 근본 원인 파악이 점점 더 어려워지고 있는 추세라고 응답 - 이러한 위협과 피해에 대한 심각성을 인지하고 있음에도 불구하고 SQL Injection 공격을 방지하기위한 노력
및 조치는 부족
- 52%는 타사 소프트웨어 도입 시, SQL Injection공격에 취약한지 아닌지 등의 점검 절차를 수행하지 않음
- 확실하게 유효성 점검을 실시한 응답자는 6%에 불과하며, 나머지는 어느 정도만 유효성 점검을 실시 - 응답자중 44%의 기업에서 정보 시스템의 취약점을 식별하기 위해 전문 침투 테스트를 실시한다고 응답
하였지만, 이 중 35%만이 SQL Injection 취약점 식별관련 침투 테스트 시행
< 침투 테스트 실시 현황 >
- 데이터베이스에 대한 더 많은 점검이 필요함에도 불구하고 응답자의 3분의 1만이 지속적으로 점검하고
있었으며, 25%는 불규칙, 22%는 전혀 점검하지 않음
< 데이터베이스 점검 주기 현황 >
- SQL Injection 공격에 대처하기 위한 분석 솔루션 사용 관련해서는 향후 2년 내에 행동 분석 기반 시스템과
시그니처 기반의 IT 보안 시스템으로 대체 할 것이라고 응답
[출처]
1. http://securityaffairs.co/wordpress/24094/cyber-crime/ponemon-sql-injection-attacks.html
2. http://www.dbnetworks.com/news/news_04162014.htm
3. http://www.techrepublic.com/article/why-sql-injection-attacks-are-successful-a-ponemon-report-offers-interesting-insight/
4. http://www.amptechsolutions.com/wp-content/uploads/2014/04/Ponemon-SQL-Injection-Threat-Study.pdf
작성 : 침해사고대응단 침해대응기획팀
728x90
'Security_News > 국내보안소식' 카테고리의 다른 글
아카마이, 2014년 1분기 DDoS 공격 보고서 발표 (0) | 2014.05.09 |
---|---|
안드로이드 앱(Feedly) 자바스크립트 인젝션 취약점 발견 (0) | 2014.05.09 |
화장품 회사 토니모리, 해킹으로 개인정보 유출 (0) | 2014.05.09 |
한진택배 반송택배 사칭 스미싱 문자 분석 (0) | 2014.05.09 |
국내 유명 제약회사 D사 인트라넷 악성파일 유포 정황 포착 (0) | 2014.05.08 |