3일간 블라인드 해킹… 파라미터변조·중요정보 노출5개 기관서만 31개 취약점 발견… 실제 해킹 땐 심각"국가 보안시설 해킹 피해 노출… 주기적 관리 시급"
-
과학기술정보통신부가 12개 산하기관을 대상으로 한 블라인드 해킹 테스트에서 총 50건의 신규 취약점이 발생한 것으로 드러났다. 테스트 과정이어서 망정이지 실제 해킹을 당했다면 공격자의 시스템 장악으로 중요 정보를 모두 털릴 뻔했다. 과학기술 컨트롤타워 산하기관이 이렇게 취약한데 다른 부처 기관들은 훨씬 심각할 가능성이 농후해 시급한 대책이 요구된다.24일 과기부에 따르면 지난 7월1일부터 3일까지 15명으로 구성된 대학생 화이트해커가 연구소를 포함한 과기부 12개 산하기관 대표 홈페이지 해킹을 불시에 시도한 결과, 총 10가지(50건)의 신규 취약점이 발견됐다.이번 해킹으로 드러난 가장 많은 취약점은 '파라미터변조와 인증·세션관리'로 18건에 달했다. 이어 '중요정보(서버정보, 절대경로 등) 노출' 12건, '크로스 사이트 스크립트 등(XSS, CSRF) 취약점' 9건 등이 새로 발견됐다.'파라미터변조와 인증·세션관리'는 공격자가 입력된 정보를 변조해 본연 의도와 다르게 동작을 조작하는 보안 취약점이다. 게시판의 글 번호를 조작(파라미터 변조)하거나, 로그인 정보를 관리하는 인증·세션 정보를 탈취·도용해 비인가된 방식으로 서버에 접근하는 경우다.'중요정보 노출'은 서버 버전 등이 외부에 노출돼 있어 공격자가 시스템의 중요 정보를 얻을 수 있다는 문제점이 있다. '크로스 사이트 스크립트 등 취약점'은 공격자가 웹 페이지에 자바스크립트 등 스크립트 코드를 삽입하는 공격으로 이를 통해 정보를 탈취하는 방식이다.이 외에도 △파일 업·다운로드 취약점 △홈페이지 관리자 권한 탈취 △SQL Injection(입력값 조작)취약점 △원격관리서비스 접근통제 미흡 △관리자 페이지(Application·서버 등) 노출 △운영체제(OS), 웹 애플리케이션 서버(WAS), 저장데이터(DB) 등 서버 원격접속 비밀번호 절취 △디렉토리 리스팅취약점팅(Directory Listing) 등이 각각 1~2건 정도 발생했다.과기부는 이들 취약점을 통해 해커가 시스템 접근권한을 획득해 정보 유출을 시도하거나, 시스템에 대한 완전한 제어, 중요한 시스템 설정 변경 및 공격이 가능했던 것으로 판단했다. 실제 해킹을 당했다면 원자력, 항공우주, 나노기술 등 중요 국가 정보가 줄줄 샐 뻔한 절체절명의 위기였다.박기웅 세종대 정보보호학과 교수는 "같은 웹 취약점이라도 대상 시스템이 중요한 국가 보안시설이라면 피해는 더욱 커질 수 있다"며 "취약점이 많을수록 해커의 공격 성공률이 높아지는 만큼 각 관문에서 침투를 막는 역할을 수행해야 했다"고 강조했다.특히 핵심 과학기술을 취급하는 A기관은 9개의 신규 취약점이 발견돼 해커 공격으로부터 가장 심각한 무방비 상태였고, B기관은 7개의 새로운 취약점이 드러나 해킹 대응에 무력한 모습을 보였다. C, D, E기관도 각각 5개의 신규 취약점이 발견돼 당국의 재빠른 조치가 요구됐다.이와 관련, 과기부 관계자는 "신규 취약점이 발견된 직후 해당 기관에 한 달 이내로 조치하라는 내용을 발송했다"며 "현시점에서는 모든 조치가 완료된 상태"라고 해명했다. 그러면서 "다양한 신규 취약점이 발견됐지만, 해커들이 내부망 침투까지 성공한 사례는 없었다"고 했다.하지만 자연 발생하는 신규 취약점 특성상 주기적인 모니터링과 함께 엄격한 사전 대응이 필요해 보인다는 지적이다. 박기웅 교수는 "당국이 스캐닝을 자주 하지 않는 한 취약점은 계속 발생할 수밖에 없다"며 "예방적 차원에서라도 주기적인 모니터링을 강화해야 한다"고 말했다.