KAIST·DGIST 등 핵심 연구기관서 다수 취약점 발견인증 탈취·서버정보 노출 등 치명적 보안 허점 다수원자력·항공우주 등 국가기술 유출 우려 커져
  • ▲ 과기정통부 산하기관 해킹 이미지 ⓒ챗지피티 생성
    ▲ 과기정통부 산하기관 해킹 이미지 ⓒ챗지피티 생성
    최근 정부부처를 대상으로 한 해킹 논란이 연이어 나오는 가운데 올해 과학기술정보통신부 산하기관 40곳에서 457건의 신규 취약점이 노출되면서 시급한 대책이 요구된다.

    28일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실이 과학기술정보통신부로부터 제출받은 '2025년 자체 해킹 모의테스트 실행 결과'에 따르면 40개 산하기관에서 457건의 신규 취약점이 발견됐다. 

    기관별로 보면 한국과학기술원(47건)이 가장 많았고 대구경북과학기술원(45건), 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건) 순이었다. 

    이번 해킹으로 드러난 가장 많은 취약점은 '파라미터변조와 인증·세션관리'로 121건에 달했다. 이어 '중요정보(서버정보·절대경로 등) 노출' 108건, '크로스 사이트 스크립트 등(XSS·CSRF) 취약점' 46건 등이 발견됐다.

    '파라미터변조와 인증·세션관리'는 공격자가 입력된 정보를 변조해 본연 의도와 다르게 동작을 조작하는 보안 취약점이다. 게시판의 글 번호를 조작(파라미터 변조)하거나, 로그인 정보를 관리하는 인증·세션 정보를 탈취·도용해 비인가된 방식으로 서버에 접근하는 경우다.

    '중요정보 노출'은 서버 버전 등이 외부에 노출돼 있어 공격자가 시스템의 중요 정보를 얻을 수 있다는 문제점이 있다. '크로스 사이트 스크립트 등 취약점'은 공격자가 웹 페이지에 자바스크립트 등 스크립트 코드를 삽입하는 공격으로 이를 통해 정보를 탈취하는 방식이다.

    이 외에도 △관리자 페이지(Application·서버 등) 노출 40건 △파일 업·다운로드 취약점 16건 △원격관리서비스 접근통제 미흡 10건 △SQL Injection 취약점 9건 △홈페이지 관리자 권한 탈취 5건 △서버 원격접속 비밀번호 절취 1건 △디렉토리 리스팅 취약점 1건 △기타 100건 등 11개 유형으로 나타났다.

    문제는 지난해 44개 기관을 대상으로 실시한 모의테스트에서 431개의 취약점이 도출됐는데, 대상기관이 4개 기관이 줄어든 이번 테스트에서 취약점이 26건(6%) 더 발견됐다는 점이다. 현재 취약점을 집계 중인 한국과학기술연구원, 한국연구재단 등 결과까지 추합하면 취약점은 500건에 다다를 것으로 예상된다.

    과기정통부는 이들 취약점을 통해 해커가 시스템 접근권한을 획득해 정보 유출을 시도하거나, 시스템에 대한 완전한 제어, 중요한 시스템 설정 변경 및 공격이 가능했던 것으로 판단했다. 실제 해킹을 당했다면 원자력을 비롯해 항공우주, 나노기술 등 중요 국가 정보가 해커들의 손 안에 들어갈 절체절명의 위기였다. 

    과학기술 컨트롤타워 산하기관에서 해킹에 심각한 취약점을 보이면서 타 부처 해킹에 대한 우려도 커진다. 실제로 올해 상반기에만 대정부 해킹시도는 6만9982건으로 집계됐으며, 행정안전부는 공무원 650명의 '행정전자서명(GPKI)' 인증서 파일 해킹 논란이 커지자 지난 17일 뒤늦게나마 해당 사실을 시인한 바 있다. 

    최수진 의원은 "우리나라 과학기술 전반에 대한 중요정보를 담은 공공기관 웹서비스의 취약점이 작년보다 개선되기는커녕, 더 심각해졌다"며 "국가기관도 블랙해커의 내부망 침입 시도, 서버 정보 노출 등의 공격을 받을 수 있다"고 경고했다.

    이어 "과기정통부 모의테스트 결과에 따라 발견된 취약점은 화이트해커가 개선지원반을 운영해 조치·지원하는데, 각 기관별 처리결과 및 향후 계획을 국회에 보고해 이행점검의 투명성을 높일 필요가 있다"고 강조했다.