상반기 웹 공격 "개인정보 유출 목적 늘어"

일반입력 :2012/08/21 21:55

손경호 기자

펜타시큐리티시스템(대표 이석우)은 지난 상반기 웹 공격 중 개인정보 유출을 목적으로 한 공격이 작년 하반기에 비해 크게 늘어났다고 밝혔다.

21일 펜타시큐리티는 '2012년 상반기 웹 공격동향 보고서(Web Application Threat Report, Trends for the First Half of 2012)'를 통해 이 같이 말했다.

보고서는 지난 1월 1일부터 6월 30일까지 제공받은 통계정보 분석 내용을 담았다. 웹 공격의 주요 내용으로는 웹 방화벽의 룰 탐지 기준탐지 건수가 3억1천만 건을 넘어 작년 하반기보다 30% 이상 늘었다. 웹을 통한 공격이 급격하게 증가하고 있다는 의미라고 보고서는 설명했다.

이 기업의 웹 애플리케이션 방화벽(WAF) 제품인 와플(WAPPLES)의 탐지 로그 통계자료를 바탕으로 분석했다.

그 결과 와플(WAPPLES)의 룰 탐지 기준으로 웹 서버의 설정 데이터 혹은 취약한 파일로의 접근을 의미하는 익스텐션 필터링(Extension Filtering) 공격이 24%로 가장 많았다. 이는 일반 사용자에게 접속이 허용될 경우 웹서버의 동작 불능, 기밀 정보의 누출 등으로 이어질 수 있는 위험이 있다는 의미다.

보고서에 따르면 특히 개인적인 정보 유출을 위한 공격이 지난해 하반기 14%에서 20%로 크게 증가했다.

웹 공격의 목적으로는 웹 서버의 '취약성 파악'을 위한 공격이 54%로 지난해 하반기 62%에서 줄어들기는 하였지만 가장 많은 비중을 차지했다.

정보유출은 사이트 내에 주민등록번호나 카드 번호와 같은 중요한 개인정보를 입력 또는 유출(Privacy input filtering, Privacy output filtering), 혹은 개인정보가 들어있는 파일을 임의로 업로드나 다운로드(Privacy file filtering) 하는 행위 등으로 개인정보가 유출되는 것을 말한다고 보고서는 밝혔다.

김덕수 펜타시큐리티 연구소장은 지난 상반기에는 작년 하반기보다 웹을 통한 공격이 빠르게 증가했으며, 데이터베이스를 벗어나 웹 애플리케이션 단에서 개인정보가 이만큼 탐지됐다는 것은 개인정보보호가 웹 애플리케이션 단에서도 반드시 이루어져야 한다는 의미라고 설명했다.

관련기사

김 소장은 또한 이 가운데 특히 주민등록번호나 카드번호와 같이 중요한 개인 정보 유출을 위한 공격 시도가 급증하고 있어 심각한 개인적인 피해가 예상돼 관련 보안대책을 강화해야한다고 덧붙였다.

보고서는 펜타시큐리티 홈페이지(www.pentasecurity.com)내의 다운로드 센터에서 내려 받을 수 있다.