웹 공격(web hacking)이란 웹 싸이트의 보안취약점을 공격하는 기술적 공격으로서, 특정 웹 페이지를 통해 권한이 없는 시스템에 접근하여 데이터를 외부로 유출시키거나 파괴하는 행위, 웹 싸이트에 기재된 개인정보를 탈취하는 행위를 의미한다. 전 세계적으로 스마트폰 보급률이 확대됨에 따라 스마트폰 웹 애플리케이션을 통한 웹공격이 급증하고 있다는 특징이 있으며, 웹공격에서 보안상 스마트폰에 영향을 크게 줄 수 있는 소스로는 SQL 삽입, XSS, CSRF 웹 셸 업로드이 있다.

SQL 인젝션이란 사용자 입력값에 SQL 문서를 삽입하여 애플리케이션에서 데이터베이스로 질의를 하게 되는데, 이때 해커가 의도한 대로 임의의 정보를 주고 받는 것을 의미한다. 해커가 의도한 대로 데이터베이스와 임의의 정보를 주고받을 수 있다면, 웹싸이트는 해커의 통제 아래 놓이게 된다. SQL 인젝션를 통해 해커는 아이디와 패스워드 입력없이 웹싸이트에 로그인 할 수 있는데, 이는 웹싸이트에 저장된 사용자의 중요 정보를 탈취할 수 있고 나아가 웹싸이트를 통제할 수도 있다는 것을 의미한다. 지난 2023년 6월, 태국 교육청 SNS와 홈페이지에 각종 음란물이 업로드된 적이 있었는데, 이는 해커의 SQL 인젝션 공격이었던 것으로 알려져 있다.

커맨드 인젝션이란 해커가 시스템을 해킹하여 자신의 의도대로 시스템을 통제하는 것을 의미한다. 어떤 서버의 관리자 권한 기능이 변조되어 있을 경우 커맨드 인젝션이 가능한 것으로 알려져 있는데, 지난 2022년 8220 Gang이라는 국제 해킹그룹이 오라클 서버의 취약점을 악용해 관리자로 로그인하여 오라클 서버를 마비시킨 바 있다.

파일 업로드 취약점이란 특정 파일 업로드를 진행할 때, 원하지 않던 악성 파일도 업로드되어 해커의 공격에 노출되는 공격유형을 의미한다. 지난 2021년 충북의 공공기관에서는 민원서류를 웹페이지 게시판을 통해 접수하다가 '파일 업로드 취약점'으로 민원실 컴퓨터가 랜섬웨어에 감염된 바가 있었다. 파일 업로드 취약점을 예방하기 위해서는 망분리를 하고 파일 업로드 구간에 악성코드를 사전에 탐지 및 차단하는 시스템을 구축할 필요가 있는 것이다.

파일 다운로드 취약점이란 해커가 웹싸이트의 취약점을 악용해 강제로 파일 다운로드 경로를 조작하여 사용자가 악성코드를 내려받게 하는 공격유형을 의미한다. 최근 우리나라에서는 정부 부처 명의를 도용한 해킹 메일이 불특정 다수의 사용자들에게 전파된 바 있고, 이러한 해킹 메일을 열람해 관련 문서를 다운로드 받은 사용자의 컴퓨터가 악성코드에 감염되는 사례가 불거진 바 있다.