FBI와 미국 사이버 보안 기관인 CISA는 'Secure by Design' 캠페인의 일환으로 개발자가 SQL 주입 취약점을 해결하기 위한 지침을 발표했습니다.
CISA와 FBI가 시작한 이 프로그램은 소프트웨어 개발자에게 SQL 주입 공격의 가능성을 알리고 경고하고 완화 기술을 제공하기 위한 것입니다.
수천 명의 사용자에게 영향을 미친 Moveit Transfer 결함에 대한 대응으로 "Secure by Design Alert"가 출시되었습니다. 이러한 보안 문제의 심각성과 빈번한 발생은 "소프트웨어의 SQL 주입 취약점 제거라는 가이드에서 강조되었습니다. 20-%20제거%20SQL%20주입%20Vulnerability%20in%20Software_508c.pdf)".
20년 넘게 SQL 주입 취약점은 철저하게 문서화되었으며 이를 방지하는 방법이 테스트되었습니다. 그럼에도 불구하고 소프트웨어 개발자들은 이러한 취약점이 있는 제품을 계속해서 출시하여 수많은 사용자를 위험에 빠뜨렸습니다. SQL 주입은 2007년 초 MITRE Corporation에 의해 심각한 취약점으로 분류되었지만 여전히 자주 발생하는 보안 문제입니다.
CISA 및 FBI 핸드북은 SQL 취약점을 자세히 설명하고 MySQL이 2004년에 출시한 "준비된 명령문"을 사용하는 것과 같은 대책을 제안합니다. 이러한 명령문은 입력 삭제보다 더 안전한 방법을 제공합니다. 이 방법은 효율성이 떨어지고 널리 배포하기가 더 어렵습니다. 이는 사용자 데이터에서 SQL 코드를 분리하는 데 도움이 됩니다.
또한 지침에서는 소프트웨어 회사의 경영진이 공식적인 코드 검토, 알려진 보안 취약점에 대한 투명한 보고, CVE 생성 및 보안 중심의 조직 개편을 통해 고객 보안에 대한 소유권을 갖도록 권장합니다.
'Secure by Design' 캠페인은 CISA와 글로벌 파트너의 지원을 받아 소프트웨어 개발 수명주기의 모든 단계에서 보안 조치의 통합을 촉진합니다. SQL 주입 문제를 해결하는 것 외에도 피싱 예방에 대한 지침을 제공하고 기본 비밀번호 사용과 관련된 위험을 강조하여 보다 안전한 온라인 환경을 조성한다는 목표를 가지고 있습니다.