‘SQL 해킹’ 60% 급증… 보호막 개발 소걸음

기업사이트 로그인하자 다른 페이지로 옮겨간적 없습니까

지난해 2월 한 인터넷 상거래 사이트에서 고객 1080만여 명의 주민등록번호와 은행계좌번호 등이 외부로 유출됐다. 사상 최악의 개인정보 유출 사건이었다.

공식적으로 정확한 유출 경위가 알려지지 않았지만 보안업계에서는 ‘SQL(데이터베이스 관리를 위한 질의어) 인젝션’ 방법이 사용됐을 것이라는 분석이 우세하다. 이 방법은 로그인 창 등에 SQL 구문을 넣어 정당한 사용자로 속인 뒤 정보를 빼내는 것으로 보안이 취약한 기업 웹사이트를 이용하는 사람들에게 치명적일 수 있다.

세계적으로 SQL인젝션 방법의 사이버 공격이 최근 수십 배나 폭증한 것으로 나타났다. 국내에서도 지난해 이 공격을 받은 웹사이트 수가 전년 대비 60% 늘어난 것으로 조사돼 금융기관을 비롯한 각종 기업 사이트들의 보안 개선이 시급하다는 지적이다.

미국 IBM은 4일(현지 시간) 발간한 ‘2008년 X-포스 동향 및 리스크 연례보고서’를 통해 사이버 범죄자가 기업 웹사이트를 신용카드나 공인인증서 등 개인정보를 공격하는 거점으로 삼는 사례가 크게 늘고 있다고 경고했다.

이는 늘어나는 웹사이트 수와 콘텐츠만큼 보안 취약성도 커지는데 이를 막을 수 있는 프로그램 개발 속도가 현저히 떨어지기 때문이다.

IBM이 지난해 새롭게 발견한 보안 취약점은 7406개에 달해 2007년 6437개보다 13.5% 늘어났다. 특히 이 중 54.9%는 웹사이트와 관련돼 있다.

IBM은 보고서에서 “2008년 말까지 발견된 보안 취약점 중 보안 패치가 개발된 것은 26%에 불과하다”고 밝혔다.

특히 SQL인젝션 공격의 대상이 될 수 있는 보안 취약점이 2007년보다 134%나 증가하면서 해커들의 SQL인젝션 시도는 지난해 12월 매일 10만∼45만 건으로 급격히 늘어났다. 이는 지난해 5월에 하루 평균 3000건 안팎이었다는 점을 감안할 때 반년 만에 수십 배가 늘어난 셈이다.

IBM 측은 “보안 패치가 아직 개발되지 않은 웹사이트상의 보안 취약점들은 기업 보안의 아킬레스건이 되고 있는 것과 동시에 고객 보안의 위협이 되고 있다”고 강조했다.

국내에서도 SQL인젝션 피해는 급증하는 추세다.

지난해 이 방법으로 피해를 본 한국의 웹사이트는 3476개로 2007년 2183개보다 59.2%나 늘어났다. 월별로는 4월과 5월에 각각 471건, 450건으로 가장 많았고 12월이 141건으로 가장 적었다.

안철수연구소 관계자는 “고객들이 기업 웹사이트를 이용할 때 흔히 로그인을 하고 들어가게 되는데, 이 과정에서 본인의 의지와 상관없이 다른 페이지로 옮겨간다든지 악성코드가 PC로 전염되는 일이 빈번하게 발생하고 있다”며 “기업과 개인 모두 사이버 보안에 더욱 경각심을 가져야 한다”고 말했다.

김창덕 기자 drake007@donga.com