Preventable But Often Ignored, Web App Attacks Expand Their Reach

예방 가능하지만 자주 간과되는 웹 애플리케이션 공격의 범위 확장

- 테레사 미크(Teresa Meek)

데이터를 훔치거나 웹사이트를 마비시키는 웹 공격은 20년 전에 등장하여 지금도 위세를 떨치고 있습니다. 웹 공격은 상당히 손쉽게 방어할 수 있지만 여전히 문제를 일으키며 더 자주 발생하는 추세입니다.

Akamai 인터넷 보안 현황 보고서에 게시된 2분기 데이터에 따르면, 해커가 양식 필드에 코드를 입력하여 사이트에 진입하는 공격은 지난 한 해 동안 전 세계적으로 25% 증가했습니다. 가장 많이 표적이 된 국가는 미국으로, 2분기에만 2억 1,800만 건의 공격이 발생했습니다.

기업이 예방 조치를 취하지 않으면 데이터, 고객, 매출 손실의 위험이 따르게 됩니다.

Preventable But Often Ignored, Web App Attacks Expand
로딩 시간이 100밀리초 지연될 경우 매출액이 최대 7% 감소할 수 있다는 사실이 최근 Akamai 보고서에서 밝혀졌습니다.

웹 앱 공격 유형

웹 앱 공격은 웹사이트의 인터랙티브 부분에 코드를 심어 서버가 데이터를 유출시키거나 파일 손상을 실행하게 만듭니다. 이러한 공격은 다양한 형태로 감행되며 각각의 형태는 고유한 방식으로 비즈니스에 손해를 입힐 수 있습니다.

크로스 사이트 스크립팅(XSS) 공격은 웹사이트를 마비시키거나 해커가 인증 정보를 가로챌 수 있도록 사용자를 가짜 사이트로 리디렉션할 수 있는 코드를 심습니다. 이 공격은 몇 년 전에 eBay에서 일어났습니다. Akamai 보고서에 따르면, XSS 공격은 지난 분기 동안 웹 앱 공격의 9%를 차지했습니다.

이 밖에도 널리 악용되는 형태로는 2분기 웹 앱 공격의 33%를 차지한 로컬 파일 인클루전(LFI) 공격이 있습니다. 이 공격에서 해커들은 웹 서버의 민감한 파일에 대한 접속을 요청하는 인터랙티브 필드에 코드화된 명령을 추가합니다. 일부 경우에 LFI 공격은 악성 코드를 실행할 수 있습니다.

웹 앱 공격 유형 중 가장 일반적이고 심각한 것은 1분기 웹 앱 공격의 51%를 차지한 SQL 인젝션(SQLi) 공격입니다. 이 공격에서 해커들은 서버가 데이터베이스에 저장된 정보를 강제로 유출시키게 만들 수 있는 명령을 입력합니다.

SQLi로 인한 피해

SQLi 공격은 데이터를 유출시킬 방법을 모색하면서 서버의 리소스를 묶어버립니다. 이로 인해 고객 등 다른 사용자가 찾고 있는 정보의 로딩 속도가 더 느려집니다. 이 지연은 수 밀리초 정도만 지속되나 누군가에게는 상당히 긴 시간일 수 있습니다.

Akamai Technologies의 기업 담당 부사장 겸 총괄 매니저 존 서머스(John Summers)는 이렇게 말합니다. "페이지 로딩 시간이 10~20밀리초에서 30~100밀리초로 증가하게 되면 상당히 짧은 지연 시간임에도 불구하고 비즈니스 비용 손실을 유발하기에 충분합니다. 상품을 판매하는 기업이라면 고객들이 다른 곳을 찾아서 떠나게 됩니다. 이는 수백만 달러의 손실을 의미할 수 있습니다."

로딩 시간이 100밀리초 지연될 경우 매출액이 최대 7% 감소할 수 있다는 사실이 최근 Akamai 보고서에서 밝혀졌습니다. 2초가 지연되면 사이트를 이탈하는 사용자 수가 평균 2배 늘어납니다.

그리고 걱정해야 될 일은 더 많습니다. 고객이 이탈하는 동안에도 이 공격은 데이터베이스에서 정보를 빼내갑니다. 단일 공격에서는 적은 양의 정보만 유출될 수 있지만, 해커들은 주로 데이터베이스의 전체 콘텐츠를 탈취할 때까지 여러 번 공격을 감행합니다.

웹 공격은 고객의 사용자 이름과 계정 암호를 가로채고 탐색 및 구매 이력에 접속할 수 있습니다. 기업이 신용카드 정보를 암호화하지 않으면 카드 데이터도 탈취할 수 있습니다.

일반적으로 웹 공격은 암호화된 데이터를 훔칠 수 없습니다. 하지만 웹사이트 개발자가 암호화 키를 부적절한 방식으로 저장하는 경우, 해커가 이를 찾아내어 신용카드 번호와 기타 개인 정보를 다운로드하는 데 사용할 수 있다고 서머스는 말합니다.

공격 예방

기업은 웹 앱 공격을 손쉽게 차단할 수 있습니다. 한 가지 방법은 컴퓨터 명령 언어가 고객 응답 필드에 삽입되지 않도록 사이트를 프로그래밍하는 것입니다. 다른 방법은 웹 애플리케이션 방화벽을 설치하는 것입니다.

이러한 방화벽은 웹사이트 트래픽을 스캔하여 방문자가 정상적으로 비즈니스를 수행하지 않는 곳으로부터 유입되는 경우 기업에 경보를 보낼 수 있습니다.

"고객층이 99% 유럽에 기반을 두고 있는데 갑자기 호주에서 트래픽이 수신되면 주의해야 합니다."라고 서머스는 설명합니다.

Akamai의 방화벽 시스템은 비정상정인 트래픽을 스캔할 뿐 아니라 개별 IP 주소를 평가하여 다른 공격과 관련이 있었던 주소에 높은 위험 점수를 매깁니다. 일단 의심스러운 트래픽에 대한 경보를 받으면 기업은 상호작용을 승인하기 전에 추가적인 사기 제어 기능을 적용할 수 있습니다.

웹 앱 공격에 대해 예방 조치를 취하는 것은 어렵지 않지만, 많은 기업에서 이러한 조치를 효과적으로 구현할 수 있는 리소스에 충분히 투자하지 않고 있습니다. 다른 기업들은 변화하는 위협 환경에 대비할 수 있도록 사이트를 재평가하지 못합니다.

"시간, 에너지, 돈, 의지가 필요한데다 지금까지 최우선순위도 아니었습니다."라고 서머스는 말합니다.

그러는 동안 해커들은 애플리케이션 공격에 취약한 웹사이트를 찾기 위해 웹을 샅샅이 탐색하고 있습니다. 심지어 SQLi 공격에 적합한 페이지를 자동으로 검색하는 툴도 보유하고 있으며, 이 툴의 사용법을 다룬 동영상을 YouTube에서 확인할 수 있습니다.

이런 환경에서 기업은 DDoS처럼 널리 알려진 공격이 아닌 웹 공격에 대비할 수 있도록 우선순위를 조정해야 한다고 서머스는 말합니다.

서머스는 다음과 같이 경고합니다. "웹 애플리케이션 공격은 리소스를 묶어버리고, 지연을 유발하고, 비용 손실을 일으키고, 고객 데이터를 유출시키고, 뉴스에 이름이 오르내리게 만들 수 있습니다. DDoS 공격처럼 시스템을 다운시키지는 않지만, 장기적 관점에서 동일한 수준의 영향을 비즈니스에 미치게 됩니다."

테레사 미크는 시애틀에 거주하면서 근무하고 있습니다. 커뮤니케이션 분야에서 15년이 넘는 경력을 보유하고 있는 테레사는 Miami Herald와 Newsday에도 기고한 경험이 있습니다.

Related CIO Content