기업 담당자의 SQL Injection 공격에 대한 위협 및 관리 인식 조사 분석

개요

• 개인정보보호 및 정보보안 연구 기관인 Ponemon 연구소에서 기업이 SQL Injection에 대한 위협 및 관리 
  인식과 관련하여 분석 보고서를 발표 함
  ※ SQL Injection : URL 요청 또는 웹 요청에 포함되는 파라미터 값에 악의적인 SQL 구문이나 시스템 명령을 
      삽입하는 형태의 공격기법

주요내용

• 응답자 기업의 65%는 지난 1년간 SQL Injection 공격을 경험했다고 밝혔으며, 응답자의 절반(49%)은 SQL
  Injection 위협이 회사의 자산에 심각한 영향을 끼칠 수 있다고 답함
  - 악의적이거나 잘못된 SQL 쿼리문을 발견하는데 걸리는 시간은 평균 140일 정도이며, 이를 수정하기 
    위한 작업에는 추가적으로 68일정도 소요

< 1년간 SQL Injection 경험(위) SQL Injection에 대한 위협 심각성 정도(아래) >

• SQL Injection 공격의 근본 원인을 이해하는 것이 가장 효과적인 예방책이라고 생각하고 있음
  - 그러나 응답자의 56%는 모바일 디바이스(BYOD)를 활용한 업무가 증가하고 있기 때문에 SQL Injection 
     공격의 근본 원인 파악이 점점 더 어려워지고 있는 추세라고 응답
• 이러한 위협과 피해에 대한 심각성을 인지하고 있음에도 불구하고 SQL Injection 공격을 방지하기위한 노력
  및 조치는 부족
  - 52%는 타사 소프트웨어 도입 시, SQL Injection공격에 취약한지 아닌지 등의 점검 절차를 수행하지 않음
  - 확실하게 유효성 점검을 실시한 응답자는 6%에 불과하며, 나머지는 어느 정도만 유효성 점검을 실시
• 응답자중 44%의 기업에서 정보 시스템의 취약점을 식별하기 위해 전문 침투 테스트를 실시한다고 응답 
  하였지만, 이 중 35%만이 SQL Injection 취약점 식별관련 침투 테스트 시행

< 침투 테스트 실시 현황 >

• 데이터베이스에 대한 더 많은 점검이 필요함에도 불구하고 응답자의 3분의 1만이 지속적으로 점검하고 
  있었으며, 25%는 불규칙, 22%는 전혀 점검하지 않음

< 데이터베이스 점검 주기 현황 >

• SQL Injection 공격에 대처하기 위한 분석 솔루션 사용 관련해서는 향후 2년 내에 행동 분석 기반 시스템과 
  시그니처 기반의 IT 보안 시스템으로 대체 할 것이라고 응답

 

[출처]
1. http://securityaffairs.co/wordpress/24094/cyber-crime/ponemon-sql-injection-attacks.html
2. http://www.dbnetworks.com/news/news_04162014.htm
3. http://www.techrepublic.com/article/why-sql-injection-attacks-are-successful-a-ponemon-report-offers-interesting-insight/
4. http://www.amptechsolutions.com/wp-content/uploads/2014/04/Ponemon-SQL-Injection-Threat-Study.pdf

작성 : 침해사고대응단 침해대응기획팀