과기정통부 산하기관 보안 구멍…신규 취약점 457건

(서울=뉴스1) 김민수 기자 = 과학기술정보통신부(과기정통부) 산하 40개 기관을 대상으로 한 자체 블라인드 모의해킹에서 신규 취약점 457건이 새로 드러나면서 대책 마련이 필요하다는 지적이 나왔다.

28일 국민의힘 최수진 의원실이 과기정통부로부터 제출받은 '2025년 자체 해킹 모의테스트 결과'에 따르면 40개 산하기관에서 457건의 신규 취약점이 발견됐다. 한국과학기술원(KAIST)이 47건으로 가장 많은 취약점을 기록했고, 대구경북과학기술원(45건), 한국재료연구원(37건), 한국생산기술연구원(28건), 한국지능정보사회진흥원(25건), 한국화학연구원(21건) 등이 뒤를 이었다.

주요 취약점은 파라미터 변조·인증·세션관리(121건), 중요정보(서버정보·절대경로 등) 외부 노출(108건), 크로스사이트스크립트(XSS·CSRF 등·46건) 등을 포함한 11개 유형이 발견됐다.

파라미터 변조·인증·세션관리 취약은 게시판 글 번호 조작이나 인증·세션 정보 탈취를 통해 비인가 접근을 허용하는 유형이다. 중요정보 노출은 서버 버전 등 시스템 핵심 정보가 외부에 노출돼 공격자가 핵심 정보를 얻을 수 있다. XSS·CSRF 등은 웹 페이지에 자바스크립트 등 스크립트 코드를 삽입하는 공격이다.

이 외에도 관리자 페이지 노출(40건), 파일 업·다운로드 취약점(16건), 원격관리서비스 접근통제 미흡(10건), SQL 인젝션 취약점(9건), 홈페이지 관리자 권한 탈취(5건), 서버 원격접속 비밀번호 절취(1건), 디렉터리 리스팅(1건) , 기타 유형 100건 등 다양한 해킹 방식이 드러났다.

특히 대상 기관 수가 지난해 44곳에서 올해 40곳으로 줄었음에도 발견된 취약점은 431건에서 457건으로 26건(약 6%) 늘었다는 점이 주목된다. 일부 기관(한국과학기술연구원·한국연구재단 등)은 아직 집계가 진행 중이라 연말까지 합산하면 취약점 수는 약 500건에 이를 것으로 예상된다.

과학기술 컨트롤타워 산하기관에서 취약점이 반복적으로 드러나면서 다른 부처로의 해킹 확산 가능성도 커지고 있다. 올해 상반기 대정부 해킹 시도는 총 6만 9982건으로 집계됐다. 행정안전부는 공무원 650명의 '행정전자서명(GPKI)' 인증서 파일 해킹 논란이 커지자, 이달 17일 뒤늦게 해당 사실을 인정했다.

최 의원은 "과기부 모의테스트 결과에 따라 발견된 취약점은 화이트해커가 개선지원반을 운영해 조치·지원하는데, 기관별 처리결과 및 향후 계획을 국회에 보고해 이행점검의 투명성을 높일 필요가 있다"고 말했다.

kxmxs4104@news1.kr