Akamai dots background

SQL 삽입 공격 방지

SQL 삽입 공격이란?

SQL 삽입 공격은 관계형 데이터베이스에 일반적으로 사용되는 SQL(Structured Query Language)의 취약점을 이용하여 데이터베이스를 무력화 또는 침투하는 공격입니다. 이러한 공격 방식은 웹 사이트에 침입하여 방해 공작을 펼치고 웹 사이트 내 여러 가지 기능을 공격하는 수단으로 점점 더 많이 사용되고 있습니다. SQL 삽입 공격은 애플리케이션을 직접 공격하거나 데이터베이스로 로직을 포워딩하여 저장된 데이터를 조작하는 경우가 많습니다.

전체 웹 공격의 27%를 차지하는 SQL 삽입 공격

SQL 삽입 공격은 두 번째로 많이 사용되는(27%) 위협 유형으로, 웹 양식에 SQL 구문을 입력하여 웹 사이트를 공격하고 사이트와 연결된 데이터베이스의 가동을 중단시킵니다. 공격 대상이 된 웹 애플리케이션에서는 시간당 평균 71회의 SQL 삽입 시도가 일어납니다. 특정 사이트/애플리케이션을 대상으로 한 SQL 공격에서는 시간당 시도 횟수가 최대 1,300회를 기록하기도 했습니다. 이러한 공격은 사이트 성능 저하부터 완전한 서비스 거부, 데이터 도난 가능성 및 개인 정보 훼손까지 다양한 피해는 물론

금전적 비용까지 유발합니다. 2012년 6월에 발생한 LinkedIn 공격의 경우 즉각적인 개선 비용으로 약 1백만 달러가 발생했으며, 650만 개의 암호를 도난당한 후 앞으로의 공격을 방지하기 위한 업그레이드 비용으로 2-3백만 달러가 추가로 발생했습니다. 출처: zdnet.com

공격 관련 보도 자료

이밖에도 주요 뉴스 사이트와 인터넷 포털부터 온라인 소매업체 및 정부 기관까지 다양한 조직이 대규모 공격으로 인한 피해를 입었습니다. 최근 사례 중 일부는 다음과 같습니다.

  • 2012년 7월에 Yahoo!는 D22Ds Company라는 이름의 해커로부터 SQL 삽입 공격을 받아 45만 개 이상의 로그인 자격 증명이 손상되었습니다. 기사를 읽으시려면 여기를 클릭하십시오.
  • 널리 알려진 소니 웹 사이트 공격은 수백만 사용자의 개인 정보를 노출시켰으며 쿠폰, 다운로드 키, 암호를 도난당하는 결과로 이어졌습니다. 기사를 읽으시려면 여기를 클릭하십시오.
  • 영국 왕립 해군 웹 사이트는 2010년에 루마니아인으로 추정되는 해커로부터 SQL 삽입 공격을 받아 사이트가 훼손되었습니다. 기사를 읽으시려면 여기를 클릭하십시오.

Kona Site Defender가 SQL 삽입 공격을 방어하는 방법

Kona Site DefenderDDoS 공격 및 SQL 삽입, XSS(Cross-Site Scripting)를 포함한 웹 애플리케이션 공격으로부터 웹 자산을 보호하는 다면적 방어 솔루션입니다. 사전 정의되어 고객 구성이 가능한 WAF(Web Application Firewall) 규칙 컬렉션을 비롯한 여러 가지 정교한 애플리케이션 계층 제어 기능을 제공하여 HTTP/S 요청/반응의 패킷 검사를 수행할 수 있으며 페이로드 분석을 통해 SQL 삽입, XSS(Cross-Site Scripting) 등의 공격을 파악 및 방어할 수 있습니다.

WAF(Web Application Firewall) 배포를 통한 SQL 삽입 공격 방어에 대해 자세히 알아보십시오.