웹 애플리케이션 보안 전문기업 트리니티소프트(대표 김진수)는 방화벽이나 기타 보안 솔루션을 우회할 수 있는 신규 ‘SQL 인젝션’ 취약점을 발견했다고 밝혔다.
‘SQL 인젝션’ 공격은 데이터베이스(DB)를 관리하는 SQL 명령어에 공격코드를 넣어 해커가 원하는 동작을 하도록 하는 공격 기법이다. 로그인 인증을 우회하거나 DB에 있는 아이디, 패스워드, 주민번호 등 개인정보를 유출한다.
트리니티소프트는 ‘국제적인 신규취약점 공유 사이트(exploit-db.com)’를 통해 해당 공격에 대한 위험도를 검증받았으며, 현재 자사 웹방화벽의 패치도 모두 완료했다.
트리니티소프트 측은 “웹방화벽 등을 우회할 수 있는 통로가 남아있기 때문에 ‘시큐어코딩 솔루션’ 제품 등을 이용해 개발 단계부터 보안 취약점을 고려한 정밀한 보안정책을 세우는 것이 시급하다”며 “SQL인젝션 공격으로 개인정보가 유출될 경우 보이스피싱 등 2차 피해가 우려된다”고 밝혔다. 웹방화벽 패치를 빨리 설치해야 외부 해킹공격으로 부터 위험을 줄일 수 있다는 지적이다.
장길수기자 ksjang@etnews.com
