올해 상반기 ‘취약점 파악 목적’ 웹 공격 급증
2015년 상반기 동안 발생한 웹 공격 유형 가운데 취약성 파악을 목적으로 한 공격이 크게 급증한 것으로 나타났다. OWASP(Open Web Application Security Project) 톱(Top) 10 위협을 기준으로는 민감한 데이터 유출과 접근 권한 확인 기능을 우회해 특정 기능 및 데이터에 접근하려는 공격이 가장 많았다.
펜타시큐리티시스템(대표 이석우)이 4일 발표한 ‘2015년 상반기 웹 공격동향 보고서’에 따르면, 올 상반기에는 취약성 파악을 목적으로 한 공격이 작년 하반기 대비 1억 5000만건 가까이 증가하는 등 압도적으로 많이 발생했다.
이 공격은 일반 사용자에게 접속이 허용될 경우 웹 서버의 동작과 웹 서비스에 직접적으로 영향을 미칠 수 있는 매우 위험한 공격이라는 것이 회사측 분석이다.
이러한 공격을 막기 위해 펜타시큐리티는 웹 애플리케이션 방화벽 ‘와플(WAPPLES)’의 ‘익스텐션 필터링(Extension Filtering)’ 기능으로 웹사이트에서 일반적으로 사용하는 확장자 형식이 아닌 취약성이 존재하는 설정파일(dll, conf, ini 등)에 대한 접속 시도를 차단해 고객 웹사이트를 보호하고 있다.
OWASP 톱10 위협 중에서는 민감한 데이터 유출(Sensitive Data Exposure)과 접근 권한 확인 기능을 우회해 특정 기능 및 데이터에 접근하려는 공격(Missing Function Level Access Control)이 1, 2위를 차지했다. 이는 주로 2차, 3차 공격 진행을 위한 취약성 관련 정보 수집과 기밀 정보 유출 그리고 관리자 권한의 취득을 타깃으로 삼고 있다.
펜타시큐리티 김덕수 CTO는 “취약성 파악 목적의 공격은 웹 사이트의 취약성 정보 노출, 웹 서버의 동작 불능, 기밀정보의 유출 등과 같은 피해로 이어질 수 있다”며 “이를 예방하기 위해 서버 및 보안 담당자는 웹보안 솔루션과 함께 데이터 암호화 및 강력한 접근제어 시스템을 동시에 구축해야 한다”고 강조했다.
펜타시큐리티의 ‘웹 공격동향 보고서’는 탐지로그에 대한 통계정보 제공에 동의한 총 1200여대의 ‘와플’로부터 받은 통계정보를 분석한 결과로 작성돼 실제 환경에서 수집된 살아있는 정보를 기반으로 연 2회 만들어진다.
펜타시큐리티시스템(대표 이석우)이 4일 발표한 ‘2015년 상반기 웹 공격동향 보고서’에 따르면, 올 상반기에는 취약성 파악을 목적으로 한 공격이 작년 하반기 대비 1억 5000만건 가까이 증가하는 등 압도적으로 많이 발생했다.
이 공격은 일반 사용자에게 접속이 허용될 경우 웹 서버의 동작과 웹 서비스에 직접적으로 영향을 미칠 수 있는 매우 위험한 공격이라는 것이 회사측 분석이다.
이러한 공격을 막기 위해 펜타시큐리티는 웹 애플리케이션 방화벽 ‘와플(WAPPLES)’의 ‘익스텐션 필터링(Extension Filtering)’ 기능으로 웹사이트에서 일반적으로 사용하는 확장자 형식이 아닌 취약성이 존재하는 설정파일(dll, conf, ini 등)에 대한 접속 시도를 차단해 고객 웹사이트를 보호하고 있다.
OWASP 톱10 위협 중에서는 민감한 데이터 유출(Sensitive Data Exposure)과 접근 권한 확인 기능을 우회해 특정 기능 및 데이터에 접근하려는 공격(Missing Function Level Access Control)이 1, 2위를 차지했다. 이는 주로 2차, 3차 공격 진행을 위한 취약성 관련 정보 수집과 기밀 정보 유출 그리고 관리자 권한의 취득을 타깃으로 삼고 있다.
펜타시큐리티 김덕수 CTO는 “취약성 파악 목적의 공격은 웹 사이트의 취약성 정보 노출, 웹 서버의 동작 불능, 기밀정보의 유출 등과 같은 피해로 이어질 수 있다”며 “이를 예방하기 위해 서버 및 보안 담당자는 웹보안 솔루션과 함께 데이터 암호화 및 강력한 접근제어 시스템을 동시에 구축해야 한다”고 강조했다.
펜타시큐리티의 ‘웹 공격동향 보고서’는 탐지로그에 대한 통계정보 제공에 동의한 총 1200여대의 ‘와플’로부터 받은 통계정보를 분석한 결과로 작성돼 실제 환경에서 수집된 살아있는 정보를 기반으로 연 2회 만들어진다.