SQL 인젝션 공격위험 감소를 위한 3가지 실무사례

• SQL 인젝션 공격은 발생한지 10년이 넘었으며 크고 작은 사고들로 인하여 이 공격의 심각성은 누구나 
  잘 알고 있고 이에 대한 묘책을 찾고 있지만 쉽게 알아내지 못하고 있음
     - 기업이 완벽한 데이터베이스 애플리케이션 코드를 작성하더라도 여전히 관련 없는 써드파티 소프트-
       웨어들로 인한 취약점으로 위험이 발생할 수 있기 때문
     - 하지만 위험을 줄이기 위해 도움이 될만한 몇 가지 실무사례를 소개하고자 함

주요내용(SQL 인젝션 공격위험을 줄이기 위한 세 가지 실무사례)

• 첫 번째는 보유하고 있는 데이터베이스의 모든 목록을 파악하고 그것들과 애플리케이션의 접속내역을 이해
  하는 것
     - 많은 기업들이 보유하고 있는 데이터베이스를 모두 알고 있다 하더라도, 의도치 않게 네트워크상으로 
       공개될 수도 있음
     - 이는 데이터베이스 자체의 문제가 아닌 네트워크 문제로 테스트 환경에서 실제 데이터 또는 연결을 사용
       하고 테스트 이후 데이터를 삭제하지 않거나 연결을 끊지 않는 것이 경우가 하나의 예
• 두 번째는 지속적으로 애플리케이션과 데이터베이스를 모니터링하는 것
     - 지속적인 모니터링은 진짜 SQL의 흐름을 파악하고 이와 반대되는 불량트래픽(SQL 인젝션 공격)을 알아
       낼 수 있음
• 세 번째는 데이터 손실 방지 시스템으로 데이터베이스 네트워크를 보호하는 것
     - 이를 통하여 네트워크상으로 보이지 말아야할 신용카드 정보들이 존재한다면, 관리자는 이를 문제점으로
       빨리 인식하고 이에 대한 대응을 해야 함

 

[출처] 
1. http://www.networkworld.com/article/2363306/security0/three-best-practices-for-reducing-the-risk-of-sql-injection-attacks.html