2013년 상반기 웹 공격동향 보고서 - 웹 해킹 빈도 순위

본 내용은 펜타시큐리티 (http://www.pentasecurity.com) 의 웹방화벽인 wapples 장비들의 탐지 로그 통계자료를 인용한

내용입니다.

 

현재 웹 공격을 가장 효율적으로 방어할 수 있는 수단 역시 웹방화벽입니다.

국내 1000 개사 이상의 구축 실적을 자랑하는 검증된 펜타시큐리티의 웹방화벽 WAPPLES 장비로 효과적인 웹 공격에

대비하시고 안정적인 웹 서비스 운영 하시기 바랍니다

 

(주)에이원네트웍스는 펜타시큐리티의 파트너로서 제품 구매 및 월 임대형식(ASP) 으로 제공하고 있습니다

 

펜타시큐리티 웹방화벽 wapples 라인업 보기

: http://www.pentasecurity.com/product/webWppleIntro.do

 

본 보고서는 WAPPLES의 룰에 따른 통계 정보, OWASP 10대 취약점과 WAPPLES 룰을 대응시킨 통계
정보, 주요 웹 공격 출발 국가 통계 정보, 웹 공격의 목적에 따른 통계 정보, 주요 공격들의 월별 추이
정보 등을 포함하고 있습니다

 

" 웹 공격의 목적 "

 

1. 공격을 통하여 금전적 손해를 입히거나, 금전적 이해를 얻으려 하는 경우
2. 서버에 무리한 부하를 일으키거나, 서버를 동작 불능 상태로 만드는 서버 운영 방해
3. 웹 공격에 앞서 웹 서버의 취약점을 사전 조사하는 경우
4. 웹 사이트를 통하여 해커의 악성 코드를 유포 하려 하는 경우
5. 웹 사이트의 내용을 임의로 변경하려 하는 웹 사이트 변조
6. 개인 정보, 서버의 정보, Database의 정보등을 유출 하려 하는 경우

 

1. 웹 해킹 탐지 상위 10

 

 

2013-01-01~2013-06-30기간 동안
Extension Filtering 공격이 가장 많았고 그 다음 Invalid HTTP, Privacy Output Filtering순이었습니다.

★ Extension Filtering은 웹 사이트에서 일반적으로 사용하는 확장자 형식이 아닌 취약성이 존재하는 파일 (예, dll, conf, ini 등)에 대한 접속 시도를 의미하며, 일반 사용자에게 접속이 허용될 경우 웹서버의 동작 불능, 기밀 정보의 누출 등으로 이어질 수 있는 위험이 있습니다.

★ Invalid HTTP은, HTTP 규격에 벗어난 요청이나 응답, 존재하지 않는 웹 사이트에 대한 요청은 대부분 일반적으로 사용하는 웹 클라이언트가 아닌 웜이나 각종 공격을 위해 자동화된 도구들로 부터 생성되는 경우가 많기 때문에 이와 같은 것을 이상 징후로 판단하여 탐지합니다.

★ Privacy Output Filtering은, 주민등록번호나 신용카드 번호와 같은 개인 정보를 웹 서버를 통해 유출하려는 공격에 대해서 탐지하고 차단합니다.

 

2. OWASP 2013 기준 웹 공격 유형 상위 10

 - OWASP 의 내용은 다음 URL 을 참고하시기 바랍니다

 : http://cafe.naver.com/aonenetworks/414

 

 

 

★ 2013-01-01 ~ 2013-06-30기간 동안 Missing Function Level Access Control 공격유형이 가장 많았습니다. 이는 적합한 권한을 가지지 않은 클라이언트에서 외부에 공개되지 않아야 할 서버디렉토리에 접근하려는 시도가 많았음을 의미합니다.

 

3. 웹 공격 주요 출발 국가 상위 5

 

 

★ 본 정보는 전세계 또는 대한민국 전체로 향한 공격 출발 국가로 해석하기에는 무리가 있습니다.
리포트의 대상이 되는 WAPPLES이 대한민국내의 서버를 대상으로 하는 것이 대부분이며, 고객도일반기업을 대상으로 한 정보이기 때문에 이를 감안하여야 합니다.

 

4. 웹 공격의 목적

 

 

2013-01-01 ~ 2013-06-30기간 동안 취약성 파악을 목적으로 한 공격이 가장
많았고 그 다음 정보유출, 서버 운영 방해 순 입니다.

 

★ 취약성 파악은 자동화된 공격 툴 등을 통하여 HTTP의 규격에서 벗어난 요청 또는 응답을 하거나(Invalid Http), RFC에 정의된 형식을 벗어난 URI 요청을 하는 행위(Invalid URI), 혹은 웹사이트의 디렉터리 내용을 노출시키는 방법(Directory listing), Error 메시지를 노출 시키는 방법(Error Handling) 등을 통하여 웹 사이트에 어떠한 취약성이 존재하는지 공격을 위한 사전 정보를
조사하는 행위 입니다.

★ 정보유출은 사이트 내에 주민등록번호나 카드 번호와 같은 중요한 개인정보를 입력 또는 유출(Privacy input filtering, Privacy output filtering), 혹은 그것이 들어있는 파일을 올리거나(Privacy file filtering) 내려받는 행위 등으로 사용자의 개인적인 정보가 유출되는 것을 의미합니다.

★ 서버운영 방해는 서버가 정상적으로 운영되지 않도록 방해하는 것을 의미하며, 웹 서버의 실행코드가 실행될 때 내부 버퍼를 넘치게 하거나(Buffer overflow) 웹 요청 값 중 필요 이상의 method나 header를 보내는 방법 등의 공격이 있습니다.

★ 웹사이트 변조는 권한이 없는 사용자가 웹 사이트를 무단으로 수정하고 조작하는 것을 의미하며, 지정된 웹 페이지의 무단 변조를 일으키는 Website defacement나 SQL서버에서 실행되는 코드에 악의적인 코드를 추가하여 권한이 없는 사용자가 정보를 획득하거나 조작하는 SQL Injection, 또는 웹 서버에서 수행 가능한 .exe, .jsp, .php 등의 파일을 웹 서버로 업로드하는 File upload, 그리고 위험한 스크립트, 파일 및 악성코드 등을 삽입하는 Include injection같은 방법 등의 공격이 존재합니다.

 

★ 금전적 손해는 인증 절차를 우회하기 위해 쿠키(웹 사용자의 컴퓨터에 저장되어 있는 개인 정보)의 내용을 수정하여 공격함으로써 다른 사용자들의 정보를 얻고 신원을 도용하는 Cookie poisoning 방식이나, 혹은 사용자가 입력해서는 안 되는 parameter를 강제로 입력하여 애플리케이션의 의도대로 동작하지 않게 하는 Parameter Tampering 공격 등으로 사용자가 금전적인 피해를 보게 만드는 것을 의미합니다.

★ 악성코드 유포는 서버의 약점을 파악해 Trojan, Virus 등의 악성코드를 유포시키는 일입니다. 해커는 악성 스크립트 코드를 입력함으로써 사용자의 정보를 보여주는 방법이나(XSS), server side script를 입력에 첨부하여 악의적인 명령을 수행하고 정보를 획득하는 방법이나(Stealth commanding), 비정상적인 접근 방식을 통해(Suspicious access) 악성코드를 전송하는 방법 등으로 공격을 시도합니다.