|
|
최수진 "국가기관 대상 해킹 공격 우려"
(서울=연합뉴스) 나확진 기자 = 과학기술정보통신부가 산하기관을 대상으로 한 블라인드 해킹 모의테스트에서 457건의 신규 취약점이 발생해 지난해보다 건수가 늘어난 것으로 나타났다.
28일 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 과학기술정보통신부로부터 제출받은 '2025년 자체 해킹 모의테스트 결과'에 따르면 40개 산하기관에서 457건의 취약점이 발견됐다.
기관별로는 한국과학기술원(KAIST)이 47건으로 가장 많았고 대구경북과학기술원(45건), 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건) 등이 뒤를 이었다.
가장 많이 발견된 취약점은 '파라미터변조와 인증·세션관리'로 121건에 달했다. 이어 중요정보(서버정보·절대경로 등) 노출 108건, 크로스 사이트 스크립트 등(XSS·CSRF) 취약점 46건 등 순이었다.
파라미터변조와 인증·세션관리는 공격자가 입력된 정보를 변조해 본래 의도와 다르게 동작을 조작하는 해킹형태로, 게시판의 글 번호를 조작하거나, 로그인 정보를 관리하는 인증·세션 정보를 탈취 및 도용해 비인가된 방식으로 서버에 접근하는 경우라고 최 의원실은 설명했다.
중요정보 노출은 서버 버전 등이 외부에 노출돼 있어 공격자가 시스템의 핵심 정보를 얻을 수 있는 경우고, 크로스 사이트 스크립트 등 취약점은 공격자가 웹페이지에 자바스크립트 등 스크립트 코드를 삽입하는 공격으로 이를 통해 정보를 탈취할 수 있다.
이 외에도 관리자 페이지 노출 40건, 파일 업·다운로드 취약점 16건, 원격관리서비스 접근통제 미흡 10건 등이 지적됐다.
지난해에는 44개 기관을 대상으로 한 모의테스트에서 431개의 취약점이 도출됐는데, 올해는 대상 기관이 줄었지만 발견된 취약점은 오히려 늘었다고 최 의원은 지적했다. 아직 집계 중인 한국과학기술연구원, 한국연구재단 등 결과까지 연말에 취합하면 전체 취약점이 더 늘 것으로 예상됐다.
최 의원은 "우리나라 과학기술 전반에 대한 중요정보를 담은 공공기관 웹서비스의 취약점이 작년보다 개선되기는커녕 더 심각해졌다"며 "국가기관도 블랙해커의 내부망 침입 시도, 서버 정보 노출 등의 공격을 받을 수 있다"고 경고했다.
rao@yna.co.kr
<연합뉴스>
