아카마이코리아는 목표 웹사이트에 SQL 인젝션(SQL Injection) 기법을 이용한 정교한 검색엔진최적화(SEO) 공격을 확인하고 이와 관련된 웹 보안 위협 경고를 14일 발표했다. 이 공격에 감염된 웹사이트는 검색엔진 봇을 교란하고 페이지 순위에 오류를 일으키는 숨겨진 HTML 링크를 유포한다.
SQL 인젝션 기법 이용한 공격으로 검색 엔진 순위 조작
기업 수익과 평판에 타격
아카마이코리아는 목표 웹사이트에 SQL 인젝션(SQL Injection) 기법을 이용한 정교한 검색엔진최적화(SEO) 공격을 확인하고 이와 관련된 웹 보안 위협 경고를 14일 발표했다. 이 공격에 감염된 웹사이트는 검색엔진 봇을 교란하고 페이지 순위에 오류를 일으키는 숨겨진 HTML 링크를 유포한다.
아카마이는 2015년 3분기 2주에 걸쳐 아카마이 인텔리전트 플랫폼에서 수집한 데이터를 분석해 3800개 이상의 웹사이트 공격과 다양한 공격에 참여한 348개 고유 IP 주소를 확인했다고 전했다. 확인 결과 상당 수의 웹사이트가 훼손된 것으로 것으로 드러났다고 설명하며 SEO 공격에 이용된 HTML 링크를 인터넷에서 검색한 결과 악성 링크를 포함한 수백여 웹 애플리케이션을 발견했다고 밝혔다.
검색 엔진 결과를 조작하는 공격도 발견됐다고 전했다. ‘부정(Cheat)’, ‘이야기(Story)’처럼 흔히 사용하는 단어의 조합을 검색한 결과 ‘부정 이야기(Cheating Stories)’라는 애플리케이션이 주요 검색 엔진의 첫 페이지에 나타났다. 아카마이는 알렉사(Alexa) 애널리틱스를 검토했고 ‘부정 이야기’ 애플리케이션 순위가 3개월 간 급증한 사실을 확인했다.
SEO 공격은 일련의 외부 링크 생성, 정상적인 웹 콘텐츠 모방
검색 알고리즘에 영향
검색 엔진은 특정 알고리즘을 사용해 웹사이트 페이지 순위와 인덱싱을 결정하며, 웹 애플리케이션으로 전송하는 링크 수와 평판이 페이지 순위에 영향을 미친다. SEO 공격은 웹에서 부정과 외도 이야기로 연결하는 일련의 외부 링크를 생성, 정상적인 웹 콘텐츠를 모방하고 검색 엔진 알고리즘에 영향을 미친다.
스튜어트 스콜리 아카마이 보안사업부 수석 부사장 겸 총괄책임자는 “페이지 순위 조작은 공격자에게 흥미로운 사업이다. 공격이 성공하면 인터넷을 사용하는 많은 기업 및 조직에게 수익은 물론 무엇보다 평판에 타격을 입힐 수 있다”고 말했다.
SEO 공격자들은 검색 엔진 운영 방식을 잘 알고 있으며 따라서 아카마이는 다음과 같은 보안 방식을 권고한다.
- 웹 애플리케이션 개발자는 백엔드 데이터베이스(DB) 쿼리에 사용될 모든 사용자 제공 데이터에 대한 입력값 검증 검사를 적절히 시행했는지 확인한다(참고:https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet).
- 사용자가 제공한 데이터를 기반으로 SQL 쿼리를 생성할 때 매개변수 쿼리와 ‘준비된 명령문(prepared statement)’만을 사용한다(참고: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet).
- 웹 애플리케이션 보안 담당자는 SQL 인젝션 공격을 차단 모드로 설정한 웹 애플리케이션 방화벽을 구축한다. 웹 링크 수 증가와 같은 큰 변화가 있는지 확인하기 위해 HTML 응답 바디(response body) 포맷에 대한 프로파일링과 모니터링을 고려한다.