지난해 하반기 개인정보유출 시도가 상반기보다 2배 이상 증가한 것으로 나타났다.
또 웹 공격의 대부분이 정상적인 파일들에 대한 접속 시도 공격으로 나타나 웹 사이트 관리자와 개발자의 부주의로 인한 취약성이 적지 않은 것으로 파악됐다.
펜타시큐리티시스템(대표 이석우)은 14일 이 같은 내용을 담은 ‘2010년 하반기 웹 공격동향 보고서’를 발간했다.
2010년 하반기 웹 공격의 주요 내용을 살펴보면 △익스텐션 필터링(Extension Filtering)이 25.85%로 가장 많았다. 익스텐션 필터링 공격이 다수를 차지했다는 것은 정상적인 웹사이트의 파일들에 대한 접속 시도를 의미하며 이는 자동화된 공격도구의 접속뿐 아니라 웹사이트 관리자와 개발자의 부주의로 인한 취약성의 노출이 많았음을 의미한다.
또 OWASP(Open Web Application Security Project) 공격유형으로 URL 접근 제한 실패가 29.55%로 가장 많았다. 이는 웹사이트 운영에 중요한 정보가 노출될 수 있는 URL의 접속시도가 많았음을 암시한다. 또 △ 웹 공격의 목적으로는 ‘취약성 파악’ 공격이 48.53%로 가장 많았으며, 그 다음으로 웹사이트 변조(16.46%) 및 정보유출(14.26%) 순으로 나타났다.
위험도가 높은 공격들의 유형 중에서 PHP서버 환경에서 웹 서버에 악성코드를 실행시킬 수 있는 인클러드 인젝션(Include Injection) 공격이 가장 많았고, 그 다음으로 개인정보 유출 시도가 많았다.
펜타시큐리티 김덕수 연구소장은 “스마트워크를 위한 업무환경의 변화와 정보노출이 쉬운 소셜네트워크 환경을 지원하는 각종 모바일 디바이스의 증가로 웹 공격이 다양하고 쉬워지고 있다”며 “이러한 위협과 함께 웹 공격 사전단계인 취약성 파악 시도와 개인정보유출 시도가 2010년 상반기에 비해 2배 이상 증가, 이에 대한 적극적인 보안대책을 강화해야 할 것”이라고 말했다.
장윤정기자 linda@etnews.co.kr
