머니투데이방송의 경우 운영 중이던 광고 공모전 사이트가 해커의 에스큐엘 주입(SQL 인젝션) 공격을 받아 2022년 9월 관리자 계정 및 회원 개인정보(13만3633건, 중복 포함)가 유출됐다. 해당 사업자는 에스큐엘 주입(SQL 인젝션) 공격 방지를 위한 입력값 검증 등의 조치를 일부 누락하고, 개인정보취급자가 아이디와 비밀번호만으로 외부에서 관리자 페이지에...
수집에 관해 정보주체에게 필수·선택 사항을 구분하지 않고 동의를 받은 사실을 확인했다. 이에 국민은행에 과태료 120만 원을 부과하고 개선권고를 명하기로 했다.
개인 정보위는 “이번 유출 사고에서 공통적 원인이 된 SQL 인젝션 공격의 경우, 잘 알려진 웹 취약점 공격이지만 파괴력이 매우 커 개인정보처리자 등의 지속적인 주의가 필요하다”고 강조했다.
그는 “막상 프로젝트를 진행하며 정보보호 관점에서 전사 시스템을 진단하고, 개인정보 흐름과 현황 등을 분석하다 보니 여태껏 알고 있는 것보다 더 큰 흥미가 느껴졌다”며 “그 이후로 패킷 분석이나 SQL 인젝션 공격 등 해킹 기술들까지 관심을 두게 됐다”고 말했다.
그는 보안 분야의 매력에 대해 “엔드포인트(최종 고객 접점)와 네트워크, 서버 등 시스템...
추가 피해에 대한 우려가 확산되자 방송통신위원회와 미래창조과학부는 4월 민관합동조사단을 꾸려 조사를 진행, 해커가 SQL인젝션 방식으로 관리자 정보를 탈취해 고객 정보를 빼낸 것으로 잠정 결론을 내리고 경찰이 수사를 넘겼다.
조사단은 여기어때에 대해서는 허술한 보안체계를 문제삼아 정보통신망법에 따른 과징금 부과 등 행정 처분을 내리면서...
해커는 ‘여기어때’ 마케팅센터 웹페이지를 'SQL인젝션' 수법으로 털어간 것으로 전해졌다. 웹페이지 질문사항을 조작해 정상적이지 않은 정보를 수집하고 데이터를 가져갔다는 얘기다. 방송통신위원회는 ‘여기어때’ 측의 웹페이지가 이 수법을 탐지·차단하지 못한 구조로 운영된 것으로 보고 과징금 부과 등을 검토 중이다.
이번 사안은 특히 징벌적 손해배상과...
어나니머스들은 SQL인젝션(공격자가 주소창 혹은 IDㆍPW 창에 SQL 명령어를 입력한 후 데이터베이스 정보를 빼내는 방법)을 통해 데이터베이스를 빼내고 있어 향후 사이트 복구에 상당한 시간이 걸릴 것으로 분석된다.
이번 공격을 주도한 어나니머스 그룹은 어논고스트팀(anonghost)으로 이들은 50여명의 글로벌 인원으로 구성돼 있다. 또 이중 국내 어나니머스도...
국제해커집단 ‘어나니머스’의 주된 공격 방식은 ‘SQL인젝션’이라는 기법이다. 어나니머스가 25일 공개 예정인 북한 미사일 관련 문서도 ‘SQL인젝션’기법을 통해 탈취된 것으로 알려졌다. 지난 4월 북한의 대남선전사이트 ‘우리민족끼리’해킹 당시 사용된 공격도 SQL 인젝션이었다.
SQL 인젝션은 웹 사이트 주소와 텍스트 필드 등 애플리케이션 자체 버그를...
화이트해커 출신 보안업계 관계자는 “디도스 공격을 통한 사이트 마비는 가능하지만 개인정보를 유출하는 것은 어렵다”며 “계정 및 정보 유출은 ‘SQL 인젝션’ 등 별도의 공격방식을 통해 이뤄진 것으로 추정된다”고 말했다.
SQL 인젝션이란 웹 애플리케이션 자체의 버그를 이용하는 해킹 기법이다.해커가 SQL서버에서 실행되는 코드에 악성코드를 추가·삽입하면...
‘데이터베이스 보안 장치 및 방법’은 질의문 접수 및 응답으로 운영되는 AMSD의 데이터베이스에 대한 SQL 인젝션공격을 방지해 AMSD 플랫폼을 자체보호하기 위한 기술로, 접수한 질의어를 미리 설정된 보안 정책과 비교하고 데이터베이스 공격으로 판단되는 경우, 입력된 질의문을 차단하는 방식이다.
안랩 조시행 연구소장은 “스마트폰이나 스마트 패드 등...
특히 XSS 공격은 SQL 인젝션 공격과 함께 인터넷 상에서 가장 많이 이뤄지는 취약점으로 국제웹보안 표준기구 OWASP에서 경고하는 10대 웹 보안취약점에서 수위를 차지한다.
나우콤은 자체 침해사고대응조직인 ‘나우서트(NOWCERT)’를 통해 이 취약점을 조기에 발견해 국가정보원, 해외 유명 보안사이트 시큐니아, 개발자 커뮤니티등 국내외 관련기관에...
특히 지난해 매스 SQL 인젝션(Mass-SQL Injection) 공격으로 소수의 PC에서 다수의 웹사이트를 침해할 수 있게 된 후, 올해 상반기부터 '검블러(Gumblar,Geno)','나인볼(Nine-Ball)'이라는 공격이 가시화됐다.
하반기에는 이런 공격을 당한 웹사이트에서 다오놀(Win32/Daonol) 악성코드가 유포돼 피해 신고가 급증한 바 있다.
분석 및 추적을 방해하는 기법 역시 한 번의...
2008년 10대 보안 위협 트렌드로는 ▲개인 정보 유출 목적 악성코드 강세 ▲교묘한 방법으로 약관 동의 받는 스파이웨어 등장 ▲외산 가짜 백신 기승 ▲SQL 인젝션 등 웹 공격 극심 ▲어도비사 응용 프로그램 취약점 공격 극성 ▲MS사 소프트웨어 겨냥한 공격 지속 ▲ARP 스푸핑의 재등장 ▲개인 정보 유출의 2차 피해 발생 ▲악성코드의 고도화 ▲사회공학적...
NSHC측은 "가장 빈번한 공격 기법은 크로스사이트스크립팅(XSS) 공격 기법과 SQL 인젝션 공격 기법"이라며, "누구나 간단히 해킹이 가능하며 관리자 권한 획득과 개인정보 열람을 할 수 있게 되는 치명적인 결과를 가져온다"고 밝혔다.
조사 결과에 따르면 중소기업과 개인 홈페이지는 무려 95%, 공공기관과 그룹계열사는 각각 91%와 88%에 해당하는...