웹 공격은 생물이다

먼저, '웹 공격'이란 말은 어려울 것도 없는 말인데 괜히 어렵게 느껴진다. (보다 정확하게는 '웹 어플리케이션 공격'이지만 그럼 더 어려워 보인다.) '웹'은 '월드 와이드 웹(World Wide Web, WWW, W3)'의 줄임말로 우리가 흔히 쓰는 '인터넷'보다 더 적절한 말인데도 흔히 쓰이지 않고, '공격'이란 말도 왠지 기술자들끼리 나누는 말 같다.

웹 공격은 정보보안 위험의 일부다. 그러나 그저 '일부'라고 하기엔 사고 발생 수가 너무나 많다. 거의 전부다. 오늘날 정보 환경의 거의 전부가 웹으로 이루어져 있기 때문인데, 그래서 언제 어디서든 정보보안 사고가 났다 하면 열에 아홉은 웹 공격으로 인한 사고다. 그러니 사고 없이 보다 안전한 세상을 이루려면 웹 공격의 정체를 어느 정도는 이해해야만 한다.

웹 공격 동향 보고서 (WATT: Web Application Threat Trend Report)'를 참조해, 최근 웹 공격의 현황과 특이점을 분석해 보자.

단순하지만 위험한 무기

SQL 인젝션 사고 글을 보면 그 허무할 정도로 단순한 그러나 강력한 공격 방법을 그려 볼 수 있다. 놀랍게도 이런 단순한 공격이 아직까지도 잘 통한다. 왜? 대비를 안 하니까,,

보안 전쟁

나태할 때 위험하다

붕어 잡는 붕어떡밥, 맞춤형 공격

웹 공격은 생물이다

대부분의 정보보안 공격은 웹 어플리케이션 공격이니, 정보보안의 최선도 웹 어플리케이션 보호다. 끊임없이 치고 들어오는 웹 공격 속에서 어떤 패턴을 읽어내고 그 패턴을 분석해 웹 보안 도구가 작동하는 논리에 반영해야만 웹 공격이라는 생물의 변화에 대응할 수 있다. 그런 점에서 웹 공격 동향은 정보보안 위험의 일부가 아니라 거의 전부임을 절감해야 우리는 보다 안전한 웹 세상을 영위할 수 있을 것이다.