SQL Injection공격으로 인한 홈페이지 내 악성코드 삽입피해 주의요망

□ 개요

o 최근 Windows 기반 웹사이트를 대상으로 SQL Injection 취약점을 공격하는 해킹도구를 통해 데이터베이스내에 악성코드를 대량으로 삽입하는 사례가 빈번히 발생하고 있어 홈페이지 관리자들의 각별한 주의가 요구됨
※ 해당 해킹도구는 일부 웹 보안 장비의 보안기능을 우회할 수도 있으므로 주의가 필요

□ 피해 현상

o 홈페이지 초기화면에 정적(Static)으로 악성코드가 은닉되는 것이 아니라, 데이터베이스 내 악성코드 링크를 삽입함으로써 해당 데이터베이스와 연동된 게시판, 상품정보 등 웹 페이지에 악성코드가 동적(Dynamic)으로 삽입됨

 

□ 원인

o 게시판이나 회원 인증 등 웹서비스와 데이터베이스가 연동되는 부분에서 전달되는 인자값에 대한 검증절차 부재로 인해 악의적인 SQL 명령어 주입이 가능하게 됨 (SQL Injection 취약점)

o 특히, 최근에는 웹 사이트를 통해 유포되는 악성코드는 쿠키 등 HTTP 헤더정보를 통해서도 삽입되고 있고, 일부 웹 보안장비의 보안기능을 우회할 수도 있으므로 각별한 주의가 필요

□ (피해 발생시) 복구방법

o 데이터베이스 백업본 사용
- 데이터베이스 백업본이 있을 경우 복구에 활용

o 악성코드가 삽입된 테이블을 모두 찾아 SQL명령문으로 복구
- 반드시 데이터베이스 관리자/개발자와 충분히 검토한 후에 적용 요망
- 자료형 변환이 필요 없는 경우 replace함수만으로 복구 가능

Update [테이블명] set [컬럼명]=replace([컬럼명], ‘[삭제하고자하는 악성코드 문자열]’, ‘’) 예> Update freebbs set title=replace(title,‘ , ‘’)

 
- 자료형 변환이 필요한 경우는 cast함수를 이용하여 복구

Update [테이블명] Set [컬럼명] = replace(cast([컬 럼명] as varchar(8000)), ‘[삭제하고자하는 악성코드 문자열]’, ‘’) 예> Update freebbs Set contents = replace(cast(contents as varchar(8000)),‘ , ‘’)

 ※ 컬럼의 자료형(data type)이 ntext, image 등인 경우 cast함수를 사용하여 자료형 변환 후 replace가능하지만, replace를 위한 변수 공간(varchar(8000)) 보다 큰 자료의 경우 자료 손실이 발생 할 수 있으므로 주의 요망. MS SQL 2005 이상에서는 varchar(max)사용 가능

- MS SQL 서버에서 사용하는 큰값 자료형 참조 자료
[1] 큰 값 자료형 설명: http://msdn.microsoft.com/ko-kr/library/ms178158.aspx
[2] UPDATETEXT 설명: http://msdn.microsoft.com/ko-kr/library/ms189466.aspx

□ 예방대책

o 근본적인 해결을 위해 모든 변수값에 유효값 검증 절차 적용

o 웹사이트에서 사용하는 DB권한의 최소화 및 SA계정 사용 제한 등의 SQL서버 최적화

o 웹 보안 솔루션 도입 및 정책 최적화
- MS URLscan 관련 자료
[1] URLscan 사용방법: http://support.microsoft.com/kb/326444/ko
[2]URLscan다운로드 :http://www.microsoft.com/downloads/details.aspx?amilyId=EE41818F-3363-4E24-9940-21603531989&displaylang=en ※ URLscan은 웹방화벽과 유사하며 서버로 전달되는 값들의 필터링 기능이 지원됨

- 공개웹방화벽 관련 자료

[1] 사용자 커뮤니티: www.securenet.or.kr > 열린지식 > 공개웹방화벽커뮤니티
※ WebKnight에서는 헤더설정의 Injection공격 차단이 설정되어 있어야 차단 가능하며, 오탐발생이 예상되므로, 적용 후 일정기간 모니터링 필요

o 웹사이트 보안 강화 가이드
- 웹보안 4종 가이드: www.KrCERT.or.kr접속 > 웹보안 4종 가이드

o 웹사이트 취약점 점검
- KISA 무료 웹취약점점검 서비스 http://webcheck.krcert.or.kr

※ 비영리단체 또는 중소기업등의 정보보호취약계층만 서비스 대상임

- MS 소스코드 검사 도구:　http://support.microsoft.com/default.aspx/kb/954476
- HP 점검 도구: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

o MS SQL서버에서 sysobjects 또는 syscolumns 권한을 제거하여 악성코드 삽입 스크립트 실행을 차단할 수 있으나, 운영 환경에 따라 적용 효과에 차이가 있으므로 추후에 배포될 기술문서에서 안내예정

□ 참고사이트

[1] http://isc.sans.org/diary.html?storyid=3823
[2] http://isc.sans.org/diary.html?storyid=5092
[3] http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html
[4] http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=16&articleId=9055858&intsrc=hm_topic
[5] http://www.trustedsource.org/blog/142/New-SQL-Injection-Attack-Infecting-Machines
[6] http://www.f-secure.com/weblog/archives/00001432.html