최수진 의원 "과기부 40개 산하기관에 新해킹 취약점 457건 발견" 작성일 10-28 57 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">한국과학기술원이 가장 많아...서버 정보와 절대 경로 등 중요 정보 노출도 108건</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5mZ7uJ71ko"> <p contents-hash="3b7f9db4fb5c4db34c9e3e6030cba58f1454aa450fd7cf4b136c5c5052f9cee4" dmcf-pid="1s5z7iztgL" dmcf-ptype="general">(지디넷코리아=방은주 기자)국민의힘 최수진 의원은 28일 과학기술정보통신부에서 제출받은 ‘2025년 자체 해킹 모의테스트 결과’에 따르면 40개 산하기관에서 457건의 신규 취약점이 발견됐다고 28일 밝혔다.</p> <p contents-hash="dd89fd3959fce0bb313969580c2dba7a4c307541b360ac5009f058660aadcefa" dmcf-pid="tO1qznqFgn" dmcf-ptype="general">기관별로 살펴보면 한국과학기술원(47건)이 가장 많았다. 대구경북과학기술원(45건), 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건)이 뒤를 이었다.</p> <p contents-hash="27a79e176fe9fe2568c0d3204c8a2cce1e26634d7e240862a77169d0a8680f3b" dmcf-pid="FItBqLB3ai" dmcf-ptype="general">가장 많이 발견된 취약점은 ▲파라미터 변조와 인증·세션관리로 121건에 달했다. 이어 ▲중요정보(서버정보·절대경로 등) 노출 108건 ▲크로스 사이트 스크립트 등(xss·CSRF) 취약점 46건 등이 발견됐다.</p> <p contents-hash="6a894447bdb745f1249c0845e4ef62f81cb4cac47a867e7ab0c7b9b2d6c00cf1" dmcf-pid="3CFbBob0NJ" dmcf-ptype="general">파라미터 변조와 인증·세션관리는 공격자가 입력된 정보를 변조해 본연 의도와 다르게 동작을 조작하는 해킹형태다. 게시판의 글 번호를 조작(파라미터 변조)하거나, 로그인 정보를 관리하는 인증·세션 정보를 탈취 및 도용해 비인가된 방식으로 서버에 접근하는 경우다.</p> <p contents-hash="710b591a0b3ac35eda6b492f350ca03cb30585917c5846cb37f06c040375cb28" dmcf-pid="0h3KbgKpjd" dmcf-ptype="general">중요정보 노출은 서버 버전 등이 외부에 노출돼 있어 공격자가 시스템의 핵심 정보를 얻을 수 있다. 크로스 사이트 스크립트 등 취약점은 공격자가 웹페이지에 자바스크립트 등 스크립트 코드를 삽입하는 공격으로 이를 통해 정보를 탈취한다.</p> <p contents-hash="7931ee8cea5ab2b11d14e9e57e91970902737e7b4758a688993d39be07a7e40c" dmcf-pid="pl09Ka9Uke" dmcf-ptype="general">이 외에도 △관리자 페이지(application·서버 등) 노출 40건 △파일 업·다운로드 취약점 16건 △원격관리서비스 접근통제 미흡 10건 △SQL Injection 취약점 9건 △홈페이지 관리자 권한 탈취 5건 △서버 원격접속 비밀번호 절취 1건 △디렉토리 리스팅 취약점 1건 △기타 100건 등 총 11개 유형의 다양한 해킹 방식이 노출됐다.</p> <figure class="figure_frm origin_fig" contents-hash="0019c0d1106931b192e0fff1e9e01e6bb933b777e978567a0668a4b8278d6d6a" dmcf-pid="USp29N2ujR" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114340457agfe.jpg" data-org-width="640" dmcf-mid="YMrKbgKpgA" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114340457agfe.jpg" width="658"></p> </figure> <p contents-hash="903af544ac34bed6fe7d4116f9a2b303375fde8108ecfbf441fd75c565dd26a7" dmcf-pid="uNS5Z85TcM" dmcf-ptype="general">지난해 44개 기관을 대상으로 실시한 모의테스트에서는 431개의 취약점이 도출됐는데, 4개 기관이 줄어든 이번 테스트에서 취약점이 오히려 26건(6%) 더 발견됐다. 현재 취약점을 집계 중인 한국과학기술연구원, 한국연구재단 등의 결과까지 연말에 취합한다면 취약점은 약 500여 건에 이를 것으로 예상된다고 짚었다.</p> <p contents-hash="a3874da4cdb2a8733d9a3b9a1a5003487d420ee4fcd9c30156bb58c086e330c1" dmcf-pid="7jv1561ygx" dmcf-ptype="general">이와 같은 방식으로 해커가 시스템 접근 권한을 획득해 정보 유출을 시도하거나 시스템에 대한 완전한 제어와 중요한 시스템 설정 변경 및 침해가 가능하고, 이처럼 실제 해킹을 당한다면 원자력을 비롯해 항공우주, 나노기술 등 주요 국가정보가 해커들의 손안에 들어갈 수 있다는 게 최수진 의원의 진단이다.</p> <figure class="s_img figure_frm origin_fig" contents-hash="bc2fc57b242d89f46406eaca0799a2199e3191d8a4e509a545d69ef55584a924" dmcf-pid="zATt1PtWcQ" dmcf-ptype="figure"> <p class="link_figure"><img alt="최수진 의원" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114341785vojl.jpg" data-org-width="214" dmcf-mid="G9tAjGAiAj" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114341785vojl.jpg" width="214"></p> <figcaption class="txt_caption default_figure"> 최수진 의원 </figcaption> </figure> <p contents-hash="8c48634ebcdadf261f29a5746e8e75f7fb8002dd420f49d906090e67f48e8b75" dmcf-pid="qcyFtQFYAP" dmcf-ptype="general">과학기술 컨트롤타워의 산하기관에서 해킹에 심각한 허술함을 보이면서 다른 부처 해킹에 대한 우려도 커지고 있다. 실제 올해 상반기에만 대정부 해킹 시도는 총 6만 9982건으로 집계됐으며, 행정안전부는 공무원 650명의 ‘행정전자서명(GPKI)’ 인증서 파일 해킹 논란이 커지자 지난 17일 뒤늦게나마 해당 사실을 시인한 바 있다.</p> <p contents-hash="b5e0d9d8367e4551a3a10aaacbaddc4c607872a6f11e321dad45da5485a1645a" dmcf-pid="BkW3Fx3Ga6" dmcf-ptype="general">최수진 의원은 “우리나라 과학기술 전반에 대한 중요정보를 담은 공공기관 웹서비스의 취약점이 작년보다 개선되기는커녕 더 심각해졌다”며 “국가기관도 블랙해커의 내부망 침입 시도, 서버 정보 노출 등의 공격을 받을 수 있다”고 경고했다.</p> <p contents-hash="f6364effcba3b67dd3e15f55f71fcfef9463e7dc14bdcc154757588af20c8656" dmcf-pid="bEY03M0HN8" dmcf-ptype="general">또 최 의원은 “과기부 모의테스트 결과에 따라 발견된 취약점은 화이트해커가 개선지원반을 운영해 조치·지원하는데, 각 기관별 처리결과 및 향후 계획을 국회에 보고해 이행점검의 투명성을 높일 필요가 있다”고 지적했다.</p> <figure class="figure_frm origin_fig" contents-hash="53c7d57ea47ec4926ffeb184bc56eb277ed53036ea184ae6116dd23254ec2597" dmcf-pid="KDGp0RpXj4" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114343031ibjc.jpg" data-org-width="638" dmcf-mid="Hc7mrFmjAN" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114343031ibjc.jpg" width="658"></p> </figure> <figure class="figure_frm origin_fig" contents-hash="a72926782034a194a67383f5003211f432f017e374a3238e4d8f5890892f3f50" dmcf-pid="9wHUpeUZaf" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114344418mwqc.jpg" data-org-width="638" dmcf-mid="XeIP6DPKNa" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114344418mwqc.jpg" width="658"></p> </figure> <figure class="figure_frm origin_fig" contents-hash="6f28688b57712b1f5f42b826d2b441dc95e653248c5ce6cd7c0f1dfac39b1cd9" dmcf-pid="2rXuUdu5oV" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114345687djta.jpg" data-org-width="616" dmcf-mid="ZPcCIUCEAg" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/28/ZDNetKorea/20251028114345687djta.jpg" width="658"></p> </figure> <p contents-hash="486f39afa1359d25b9e1c52a966360482b1e601a8a1617ea86784324247a0383" dmcf-pid="VmZ7uJ71o2" dmcf-ptype="general">방은주 기자(ejbang@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 홍경, 남친짤 장인…멋있는데 귀여워 [MD★스타] 10-28 다음 서울시체육회, 도심형 산악문화 복합공간 '서울특별시산악문화체험센터' 새롭게 운영 10-28 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
