정보유출 주범, SQL 삽입 공격을 예방하기 위한 6가지 보안 Tip

개요

• 컴퓨터 보안 전문업체 eSecurity Planet는 최근 데이터베이스의 사용이 많아지고 SQL 공격이 지속적으로 발생함에 따라 보안담당자 조치를 취할 수 있는 6가지 방법을 발표

 

 주요내용

• 대형 유통업체인 타겟, 유명 체인 호텔 힐튼앤매리엇 등 대형 기업들의 보안사고 뉴스가 쏟아지고 있으나, 대부분의 피해업체는 보안사고의 원인과 피해범위조차 파악하지 못하고 있음
• 대부분 SQL 삽입 공격에 의해 이루어 지고 있으며, 이는 데이터베이스에 저장된 고객계정, 거래내역 등의 정보를 빼내기 위해 오래전부터 사용되던 수법
• 웹보안 위협을 예방할 수 있는 몇가지 보안 수칙을 안내
• (Tip 1) 시큐어 코딩을 준수하여 소스코드 개발
   - 사용자가 입력하는 내용에 비정상적인 문구가 포함되지 못하도록 유효성을 검사하도록 웹페이지를 개발해야 함
• (Tip 2) 불필요한 에러 메시지 표시 금지
   - 데이터베이스 서버의 에러 메시지를 사용자에게 보여주지 않도록 설정하여, 공격자가 에러메시지 분석을 통해 취약점 정보를 유추할 수 없도록 해야 함
• (Tip 3) 데이터베이스 응용프로그램의 최신 보안패치 유지
   - 패치관리시스템을 도입하여 자동으로 최신 보안패치를 적용할 수 있도록 해야함
• (Tip 4) 네트워크 모니터링 도구 사용
   - 에러 메시지 급증, 트래픽 증가 등 네트워크 모니터링 도구를 이용해 이상징후를 쉽게 파악 할 수 있는 알람 기능을 활용해야 함
• (Tip 5) 전문 필터링 도구를 이용하여 취약점을 제거
   - 데이터베이스 접근통제, 의심 트래픽 필터링 기능을 제공하는 모니터링 장비를 통해 취약점을 없애야 함
• (Tip 6) 데이터베이스 보안정책 강화
   - 싱글사인온(Single Sign-On) 솔루션 구축을 통해 데이터베이스에 접근하는 사용자 및 응용프로그램 권한 등 인증을 강화하여 데이터베이스 취약점을 보완해야 함

 

[출처]
1. eSecurity Plant, www.esecurityplanet.com, “6 Steps for Fighting SQL Injection”, 2014.3.25.