[the300][2025 국정감사]
과학기술정보통신부(과기부)가 40개 산하기관을 대상으로 '블라인드 해킹' 모의 테스트를 한 결과, 457건의 신규 취약점이 발견된 것으로 확인됐다.
최수진 국민의힘 의원이 과기부로부터 제출받은 '2025년 자체 해킹 모의 테스트 결과'를 보면 과기부의 40개 산하 기관에서 457건의 신규 취약점이 발견됐다. 기관별로 보면 한국과학기술원(KAIST)이 47건으로 가장 많았다.
다음으로 △대구경북과학기술원(45건) △한국재료연구원(37건) △한국생산기술연구원(28건) △한국지능정보사회진흥원(25건) △한국화학연구원(21건) 등이 뒤를 이었다.
가장 많이 발견된 취약점은 '파라미터 변조와 인증·세션 관리'로 121건에 달했다. 이는 공격자가 입력된 정보를 변조해 본연의 의도와 다르게 동작을 조작하는 해킹의 형태다. 이를테면 게시판의 글 번호를 조작하거나 로그인 관련 정보를 도용해 비인가된 방식으로 서버에 접근하는 경우가 있다.
108건의 '중요정보 노출', 46건의 '크로스 사이트 스크립트' 등의 취약점도 발견됐다. 중요정보가 노출되면 공격자가 시스템의 핵심 정보를 얻을 수 있다. 크로스 사이트 스크립트는 공격자가 웹페이지에 특정 코드를 삽입해 정보를 탈취하는 것을 뜻한다.
△관리자 페이지 노출(40건) △파일 업·다운로드 취약점(16건) △원격관리서비스 접근통제 미흡(10건) △서버 원격접속 비밀번호 절취 1건 등의 취약점도 발견됐다.
올해 모의 테스트에서는 지난해보다 취약점이 26건 많이 발견됐다. 과기부는 지난해 44개 기관을 대상으로 실시한 모의 테스트에서는 431건의 취약점이 발견됐다. 올해 4개 기관이 줄었는데 취약점이 늘어난 것이다.
최수진 의원실 관계자는 "(테스트 결과를) 집계 중인 한국연구재단 등의 결과까지 취합된다면 취약점은 500여건에 이를 것으로 보인다"며 "실제 해킹을 당한다면 원자력을 비롯해 항공우주, 나노기술 등 주요 국가 정보가 해커들의 손안에 들어갈 수 있다. 올해 상반기에만 대정부 해킹 시도가 6만9982건으로 집계됐다"고 했다.
최 의원은 "우리나라 과학기술 전반에 대한 중요 정보를 담은 공공기관 웹서비스의 취약점이 작년보다 개선되기는커녕 더 심각해졌다"며 "국가 기관도 블랙 해커로부터 공격을 받을 수 있다"고 밝혔다.
독자들의 PICK!
이어 "과기부 모의 테스트 결과에 따라 발견된 취약점은 화이트 해커가 개선지원반을 운영해 조치, 지원한다"며 "기관별 처리 결과와 향후 계획을 국회에 보고하도록 해 이행 점검의 투명성을 높일 필요가 있다"고 덧붙였다.
