SQL/NoSQL Injection 취약점 자동 침투 시험 도구의 설계 및 구현

Abstract

웹 서비스 사용이 보편화되면서 웹 애플리케이션의 보안취약점 을 악용하는 해커들이 늘어나고 있다. 악의적인 공격으로 인한 피 해를 막기 위해 보안을 견고하게 하지만, 날이 갈수록 다양해지는 보안취약점에 의한 피해가 빈번하게 발생하고 있다. SQL/NoSQL Injection은 데이터베이스 관리 프로그램과 연동되어있는 웹 애플 리케이션에 가해지는 공격이며, 웹 애플리케이션의 허점을 이용해 서 데이터베이스를 조작하거나 내부 정보를 얻어내는 기법이다. 이 취약점으로 인한 공격은 홈페이지 변조와 같은 공격과는 달리 확인 까지 많은 시간이 소요되며, 보안조치 또한 문제가 되는 페이지의 소스코드를 수정해야 하므로 짧은 시간 안에 조치가 이루어지기는 어렵다. 따라서 본 논문에서는 SQL/NoSQL Injection 취약점을 분석 하고, 침투 시험을 통해 사용자의 최소한의 개입만으로 SQL/NoSQL Injection 취약점을 자동으로 탐지하는 기법을 제안한다. 제안한 기법은 SQL/NoSQL Injection 취약점을 탐지하기 위한 전문적인 보 안 지식을 요구하지 않기 때문에 보안 비전문가도 쉽게 취약점을 탐지할 수 있다.