과기정통부, 2025년 자체 해킹 모의테스트 결과 40개 산하기관서 457건 신규 취약점 발견
최근 행안부 GPKI 인증서 논란 이어 과학기술 컨트롤타워 산하기관서 취약점...대정부 해킹 우려↑
[보안뉴스 조재호 기자] 과학기술정보통신부 산하기관을 대상으로 한 블라인드 모의해킹에서 457건의 신규 취약점이 드러난 것으로 확인됐다. 최근 연이은 해킹 사고로 보안의 중요성이 강조되는 만큼 시급한 대책이 필요해 보인다.
▲2025 년 모의침투훈련 결과 및 유형별 취약점 [자료: 최수진 의원실]
최수진 국민의힘 의원이 과기정통부서 제출받은 ‘2025년 자체 해킹 모의테스트 결과’에 따르면 40개 산하기관에서 457건의 신규 취약점이 발견됐다.
한국과학기술원이 47건으로 가장 많았고, 대구경북과학기술원(45건), 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건) 순이었다.
가장 많이 발견된 취약점은 △파라미터변조와 인증·세션 관리로 121건에 달했다. 이어 △중요정보(서버정보·절대경로 등) 노출 108건 △크로스 사이트 스크립트(XSS·CSRF) 취약점 46건 등이 발견됐다.
이외에도 △관리자 페이지 노출 40건 △파일업·다운로드 취약점 16건 △원격관리서비스 접근통제 미흡 10건 △SQL 인젝션 취약점 9건 △홈페잊 관리자 권한 탈취 5건 △서버 원격접속 비밀번호 절취 1건 △디렉토리 리스팅 취약점 1건 △기타 등 총 11개 유형의 해킹 방식에 노출됏다.
지난해 모의 테스트에서는 44개 기관에서 431개 취약점이 도출됐는데, 올해는 4개 기관이 줄어들었지만, 취약점은 오히려 26건 더 발견됐다. 현재 취약점을 집계 중인 한국과학기술연구원, 한국연구재단 등의 결과까지 취합된다면 취약점은 500건에 이를 전망이다.
과학기술 컨트롤타워인 과기정통부 산하기관들이 허술한 모습을 보이면서 다른 부처 해킹 가능성에 대한 우려도 커지고 있다. 실제 올해 상반기에만 대정부 해킹 시도는 총 6만9982건으로 집계됐고, 행정안전부는 공무원 650명의 ‘행정전자서명(GPKI)’ 인증서 파일 해킹 논란이 커지자 지난 17일 해당 사실을 시인한 바 있다.
최수진 의원은 “우리나라 과학기술 전반에 대한 중요정보를 담은 공공기관 웹서비스의 취약점이 작년보다 개선되기는 커녕, 더 심각해졌다”며 “과기정통부 모의테스트 결과에 따라 발견된 취약점은 개선지원반을 운영, 기관별 처리결과 및 향후 계획을 국회에 보고해 이행점검의 투명성을 높일 필요가 있다”고 말했다.
[조재호 기자(sw@boannews.com)]
최근 행안부 GPKI 인증서 논란 이어 과학기술 컨트롤타워 산하기관서 취약점...대정부 해킹 우려↑
[보안뉴스 조재호 기자] 과학기술정보통신부 산하기관을 대상으로 한 블라인드 모의해킹에서 457건의 신규 취약점이 드러난 것으로 확인됐다. 최근 연이은 해킹 사고로 보안의 중요성이 강조되는 만큼 시급한 대책이 필요해 보인다.
▲2025 년 모의침투훈련 결과 및 유형별 취약점 [자료: 최수진 의원실]
최수진 국민의힘 의원이 과기정통부서 제출받은 ‘2025년 자체 해킹 모의테스트 결과’에 따르면 40개 산하기관에서 457건의 신규 취약점이 발견됐다.
한국과학기술원이 47건으로 가장 많았고, 대구경북과학기술원(45건), 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건) 순이었다.
가장 많이 발견된 취약점은 △파라미터변조와 인증·세션 관리로 121건에 달했다. 이어 △중요정보(서버정보·절대경로 등) 노출 108건 △크로스 사이트 스크립트(XSS·CSRF) 취약점 46건 등이 발견됐다.
이외에도 △관리자 페이지 노출 40건 △파일업·다운로드 취약점 16건 △원격관리서비스 접근통제 미흡 10건 △SQL 인젝션 취약점 9건 △홈페잊 관리자 권한 탈취 5건 △서버 원격접속 비밀번호 절취 1건 △디렉토리 리스팅 취약점 1건 △기타 등 총 11개 유형의 해킹 방식에 노출됏다.
지난해 모의 테스트에서는 44개 기관에서 431개 취약점이 도출됐는데, 올해는 4개 기관이 줄어들었지만, 취약점은 오히려 26건 더 발견됐다. 현재 취약점을 집계 중인 한국과학기술연구원, 한국연구재단 등의 결과까지 취합된다면 취약점은 500건에 이를 전망이다.
과학기술 컨트롤타워인 과기정통부 산하기관들이 허술한 모습을 보이면서 다른 부처 해킹 가능성에 대한 우려도 커지고 있다. 실제 올해 상반기에만 대정부 해킹 시도는 총 6만9982건으로 집계됐고, 행정안전부는 공무원 650명의 ‘행정전자서명(GPKI)’ 인증서 파일 해킹 논란이 커지자 지난 17일 해당 사실을 시인한 바 있다.
최수진 의원은 “우리나라 과학기술 전반에 대한 중요정보를 담은 공공기관 웹서비스의 취약점이 작년보다 개선되기는 커녕, 더 심각해졌다”며 “과기정통부 모의테스트 결과에 따라 발견된 취약점은 개선지원반을 운영, 기관별 처리결과 및 향후 계획을 국회에 보고해 이행점검의 투명성을 높일 필요가 있다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=spacer}
.png)
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
