또 숙소예약 사이트에서 개인정보 유출사고가 일어났습니다. 공격한 기법은 SQL Injection으로 OWASP TOP 10중 1위에 올라와있는 공격입니다. 공격의 난이도에 비해 공격이 한번 성공하면 큰피해가 발생하는 공격입니다.
SQL Injection 으로 유출된 1600건 가량의 개인정보는 pastebin 에 올라왔으며, 약 8개월가량 무방비로 노출되어 왔습니다. 문제는 한번 pastebin에 올라가면 삭제요청이 쉽지 않다는것입니다. 이를 막기위해서는 보안솔루션에 의지하지 말고, 전체 소스에서 DB 연계구간을 모두 찾아 전 과정에서 단 하나라도 보호로직이 누락되지 않도록 시큐어 코딩을 하여야 한다고 합니다. 일단 유출되면 pastebin에 올라가고, 2차피해가 발생하는것을 막을 수 없기에 SQL 인젝션을 원천적으로 차단하는 방법을 사용해야 할것같습니다.
이 정보는 개인정보가 누구나 볼 수 있는곳에 노출 되어있으며, 2차피해가 발생할 수 있다는 위험성을 보여주기 위해서 작성되었습니다. 해당 정보를 이용하여, 실제로 로그인을 시도하거나, 악용하는 행위는 범죄입니다. 개인정보도용을 통해 발생한 2차 피해발생시 법적 처벌을 받을 수 있습니다.
'Daily IT News' 카테고리의 다른 글
| 10/20 News, https 차단 무엇이고, 적합한 조치인가? (2) | 2018.10.20 |
|---|---|
| 10/19 News, 다크웹의 구인 시장, 더 엄격한 규칙과 더 많은 돈 (0) | 2018.10.19 |
| 10/18 News, 전 세계적으로 보안 인력 300만 명 모자란다 (0) | 2018.10.18 |
| 10/17 News, 동영상 사이트 유튜브, 서버 에러 메시지 뜨며 ‘먹통’ (0) | 2018.10.17 |
| 10/15 News, 한국 IoT 기기 취약점, 쇼단에 고스란히 노출 (0) | 2018.10.15 |