과기정통부 산하 블라인드 해킹 모의테스트 실시
파라미터 변조, 인증·세션 관리, 중요 정보 노출 등
한국과학기술원 47건 최다…취약점 전년보다 늘어
파라미터 변조, 인증·세션 관리, 중요 정보 노출 등
한국과학기술원 47건 최다…취약점 전년보다 늘어
 |
[서울=뉴시스]박은비 기자 = 과학기술정보통신부 산하기관 40곳의 해킹 신규 취약점이 460건 가까이 발견된 것으로 나타났다. 전년 대비 늘어난 수치다.
28일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 과기정통부에 제출받은 '올해 자체 해킹 모의테스트 결과'에 따르면 40개 산하기관에서 457건의 신규 취약점이 발견됐다.
기관별로 살펴보면 한국과학기술원(47건)이 가장 많았다. 대구경북과학기술원(45)건, 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건) 등도 뒤따랐다.
가장 많이 발견된 취약점은 파라미터 변조와 인증·세션 관리(121건)다. 서버정보·절대경로 등 중요 정보 노출(108건), 크로스 사이트 스크립트(XSS·CSRF) 등 취약점(46건) 등도 발견됐다.
파라미터 변조와 인증·세션 관리는 공격자가 입력된 정보를 변조해 본연의 의도와 다르게 동작을 조작하는 해킹 형태다. 게시판의 글 번호를 조작(파라미터 변조)하거나 로그인 정보를 관리하는 인증·세션 정보를 탈취·도용해 비인가된 방식으로 서버에 접근하는 경우다.
중요 정보 노출은 서버 버전 등이 외부에 노출돼 있어 공격자가 시스템 핵심 정보를 얻을 수 있는 문제점이 있다. 크로스 사이트 스크립트 등 취약점은 공격자가 웹페이지에 자바스크립트 등 스크립트 코드를 삽입하는 공격으로 이를 통해 정보를 탈취한다.
이외에도 애플리케이션·서버 등 관리자 페이지 노출(40건), 파일업·다운로드 취약점(16건), 원격관리서비스 접근 통제 미흡(10건), SQL 인젝션 취약점(9건), 홈페이지 관리자 권한 탈취(5건), 서버 원격접속 비밀번호 절취(1건), 디텍토리 리스팅 취약점(1건), 기타(100건) 등 11개 유형의 다양한 해킹 방식이 노출됐다.
앞서 지난해 44개 기관으로 대상으로 실시한 모의테스트에서 취약점 431개가 발견된 것과 비교했을 때 4개 기관이 줄어들었는데도 취약점이 26건(6%) 더 발견됐다.
연말까지 취약점을 집계 중인 한국과학기술연구원, 한국연구재단 등 결과를 반영하면 전체 500여건에 이를 것으로 예상된다.
아울러 다른 부처 해킹에 대한 우려도 커지고 있다. 대정부 해킹 시도는 올해 상반기에만 총 6만9982건으로 집계됐다. 행정안전부는 공무원 650명의 행정전자서명(GPKI) 인증서 파일 해킹 논란이 커지자 지난 16일 뒤늦게 해당 사실을 인정한 바 있다.
최 의원은 "실제 해킹을 당한다면 원자력을 비롯해 항공우주, 나노기술 등 주요 국가정보가 해커들의 손 안에 들어갈 수 있다"며 "발견된 취약점은 화이트 해커가 개선지원반을 운영해 조치·지원하는데, 각 기관별 처리 결과와 향후 계획을 국회에 보고해 이행 점검의 투명성을 높일 필요가 있다"고 주장했다.
☞공감언론 뉴시스 silverline@newsis.com
▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개
이 기사의 카테고리는 언론사의 분류를 따릅니다.