SEOUL, KOREA - 화이트 해커 그룹, ‘락다운’은 중·소규모 홈페이지들을 선별하여 임의로 취약점 진단을 진행한 결과 2014 ITU 전권회의 공식 홈페이지를 비롯한 10곳의 사이트에서 블라인드SQL인젝션 취약점이 발견돼 보안조치를 권고했다고 밝혔다.
중·소규모 홈페이지에 존재하는 취약점의 대부분은 SQL Injectino 공격, XSS공격으로 국제 웹 보안기구(OWASP)에서 홈페이지에 대한 해킹 기법을 위험도, 파급력 등을 종합해 지정한 Top10 해킹 기법 중 각각 1위와 8위를 차지할 만큼 파급력과 위험도를 가진 취약점이다.
공격자는 해당 취약점을 악용하여 악성코드를 유포하거나 홈페이지를 변조하는 등 다양한 공격을 할 수 있으며 이에 홈페이지 이용자들은 개인정보유출 등의 피해를 입을 수 있다. 따라서 일반 홈페이지 이용자들은 중·소규모와 같은 취약한 홈페이지를 접속할 때는 이같은 점을 유의해야 한다.
중·소규모 홈페이지에서 발견된 이번 취약점들은 2012년 안전행정부에서 발표한 홈페이지 SW(웹) 개발 보안 가이드를 참고하면 손쉽게 보안 할 수 있다. 하지만 중·소규모 홈페이지는 보안가이드조차 준수하지 않는 보안 의식으로 많은 취약점에 그대로 노출되고 있다.
락다운은 보안 사고를 예방하기 위해 “가장 첫 번째로 중·소규모 기업이 보안의식을 가지는 것이 중요하며 일반 이용자들은 중·소규모 홈페이지를 접속할 때 보안 사고에 유의하는 태도를 갖는 것이 좋다”고 조언했다.
저작권자 © Korea IT Times 무단전재 및 재배포 금지
