최종편집 : 2017.8.18 금 18:40
아이티비즈
> 뉴스 > 보안
씨디네트웍스, 웹 공격 분석 보고서 발표
김문구 기자  |  mgkim@it-b.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.02.16  16:22:11
트위터 페이스북 미투데이 요즘 네이버 구글 msn

[아이티비즈] 씨디네트웍스(대표 김종찬)가 2016년 4분기 웹 공격 분석 보고서를 발표했다.

씨디네트웍스는 디도스 방어와 웹 방화벽 서비스로 구성된 클라우드 시큐리티 서비스 출시 이후, 글로벌 고객사를 대상으로 제공하고 있는 웹 방화벽을 통해 다양한 웹 공격 정보를 수집, 모니터링하고 있다. 이번 보고서는 2016년 10월부터 12월까지 수집한 웹 공격 정보를 바탕으로 분석한 결과를 담았다.

보고서에 따르면 지난해 4분기 웹 공격 취약점 유형은 CSRF(사이트간 요청 위조, Cross-site Request Forgery)가 28%, SQL 인젝션이 26%로 나타나 이 두 가지 취약점을 이용한 공격 시도가 전체 공격의 54%를 차지했다. 최근 이슈가 되고 있는 미라이봇넷을 활용한 사물 인터넷 기기의 취약점을 활용한 공격도 증가 추세가 감지되어 주의가 요구된다.

▲ 2016년 4분기 웹 공격 분석

개발 언어별 웹 공격 빈도는 PHP가 84%로 압도적인 비중을 차지한 것으로 나타났는데, 워드프레스, 줌라(Joomla) 등 PHP 언어로 개발된 공개용 CMS(콘텐츠 관리 시스템)에 대한 취약점 노출이 원인으로 분석됐다.

웹 해킹 사례로는 웹 스크래핑, IP 평판 서비스, 원격 파일 삽입 방법을 기준으로 웹에 미치는 위험 요소와 이를 차단하거나 탐지하여 웹을 안전하게 보호할 수 있는 방법을 예제를 통해 제시한다.

마지막으로 줌라에서는 특정 버전(Joomla 3.6.4) 이하에서 계정을 임의로 생성하거나 관리자 권한을 획득하는 취약점이 있는 것으로 나타나 애플리케이션의 정상적인 동작 의도와는 다르게 비정상적인 접근 경로를 악용하는 공격이 빈번하게 발생하고 있다. CSRF의 특성상 이와 같은 공격은 웹 스캐너나 소스코드 진단으로 탐지하기 어렵기 때문에 직접 공격을 통해 취약점을 찾고 공개된 CsrfFilter 클래스를 이용한 시큐어코딩으로 해결하는 방법을 보고서에서 소개한다.

씨디네트웍스 보안서비스팀 최경철 이사는 “보안 위협으로부터 웹 환경을 보호하기 위해서는 기업 자체적으로 다양한 경로에서 발생되는 취약점 정보를 빠르게 수집하고 대응책을 세워 실행하는 것이 하나의 방안이 될 수 있다”며 “그러나 기업 내부에 전문 인력이 부족하여 취약점을 방치하는 경우 더 큰 위협에 노출될 수 있으므로 다양한 보안 위협에 빠르게 대응할 수 있는 보안 전략을 마련해야 한다”고 말했다.

김문구 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
김혁건, 자신의 히트곡 ‘돈 크라이’ 부른 김경현 용서해
2
현대페이-엘라스틱-더블체인, 핀테크·블록체인 사업 협력
3
SK텔레콤, 초소형 양자난수생성 칩 개발…"슈퍼컴도 해킹 어렵다"
4
TQMS, 창립 13주년…“국내 최고 CMMI 전문기업으로 자리매김”
5
알에스오토메이션 "지능형 로봇모션 제어 솔루션으로 글로벌 톱5 목표"
6
[전문가컬럼] "랜섬웨어 가장한 데이터 파괴 멀웨어 공격 대비해야"
7
[새책] '52주 여행, 사계절 빛나는 전라도 217' 출간
8
KT-부산시교육청, IoT로 미세먼지 안전스쿨 만든다
9
KT, ‘5대 플랫폼’ 육성에 중소·벤처기업 동참…상생경영 강화
10
안랩, 휴가철 유용한 보안수칙 발표
하이라이트
베스트 리뷰

델, ‘래티튜드 7000’ 시리즈 2종 출시

델, ‘래티튜드 7000’ 시리즈 2종 출시
[아이티비즈] 델이 17일 업무용 노트북 ‘래티튜드(Latitude)’의...

한국CA, 마이크로서비스에 최적화된 API 관리 새제품 발표

한국CA, 마이크로서비스에 최적화된 API 관리 새제품 발표
[아이티비즈] 한국CA테크놀로지스는 마이크로서비스(Microservice...

로지텍, 올인원 컨퍼런스 카메라 ‘밋업’ 출시…소규모 회의실에 최적화

로지텍, 올인원 컨퍼런스 카메라 ‘밋업’ 출시…소규모 회의실에 최적화
[아이티비즈] 로지텍코리아(대표 정철교)는 9일 소규모 회의실(Huddl...
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
회사명 : 아이티비즈랩  |  등록번호 : 서울, 아02297  |  등록일자 : 2012년 10월 18일  |  제호 : 아이티비즈  |  발행인·편집인 : 박미숙
주소 : 서울시 성북구 북악산로1길 21, 102호  |  발행일자 : 2012년 10월 18일  |  대표전화 02-919-8363  |  청소년보호책임자 : 김건우
Copyright © 2013 아이티비즈. All rights reserved. mail to news@it-b.co.kr