통신3사 이어…과기정통부 산하 연구소들도 해킹에 노출

과학기술정보통신부가 40개 산하기관을 대상으로 모의 해킹 훈련을 한 결과 457건에 달하는 취약점이 발견된 것으로 나타났다.

KT와 SK텔레콤, LG유플러스 등 통신3사를 둘러싼 해킹과 개인정보 대량 유출 사고가 잇따른 가운데 국가 핵심기술을 연구하는 과기정통부 산하 연구소들도 해킹 위험에 노출된 것이다. 이미 기술 유출이 있었을 가능성도 제기된다.

28일 최수진 국민의힘 의원이 과기정통부로부터 제출받은 2025년 해킹 모의테스트 결과에 따르면 국가과학기술연구회(NST) 산하 출연연구소 가운데 한국재료연구원에서 가장 많은 37건의 취약점이 발견됐다. 한국화학연구원(21건), 한국전자통신연구원(17건), 기초과학연구원(16건), 한국지질자원연구원(13건), 한국기초과학지원연구원(10건) 등에서도 다수 취약점이 발견됐다. 과기정통부 산하기관 중에선 한국지능정보사회진흥원(NIA)에서 가장 많은 25건의 취약점이 확인됐다. 한국과학창의재단(16건), 국가과학기술인력개발원(12건) 등에서도 취약점이 발견됐다.

가장 많이 발견된 취약점은 파라미터 변조와 인증·세션 관리(121건)였고 서버정보 등 중요정보 노출(108건), 크로스사이트스크립트 취약점(46건) 등이었다.

파라미터 변조와 인증, 세션 관리는 공격자가 입력된 정보를 변조해 사용자 본래 의도와 다르게 조작하는 해킹이다. 게시판 글 번호를 조작하거나 로그인 정보를 관리하는 인증·세션 정보를 탈취해 비인가된 방식으로 서버에 접근한다.

중요정보 노출은 서버 버전 등이 외부에 노출돼 있어 공격자가 시스템 침투 아이디어를 얻는 경우다. 크로스사이트스크립트 등 취약점은 공격자가 웹페이지에 자바스크립트 등 스크립트 코드를 삽입하는 방식으로 정보를 탈취한다.

이밖에도 관리자 페이지 노출 40건, 파일 업로드·다운로드 취약점 16건, SQL인젝션 취약점 9건, 홈페이지 관리자 권한 탈취 5건, 서버 원격접속 비밀번호 절취 1건, 디렉토리 리스팅 취약점 1건 등 10가지가 넘는 유형의 해킹 위험에 과기정통부 산하 기관들이 고스란히 노출됐다.

최 의원측은 "현재 취약점을 집계 중인 한국연구재단, 한국과학기술연구원(KIST) 등까지 합한다면 500건을 넘을 것으로 예상한다"며 "해커가 시스템 접근 권한을 획득하는 해킹을 당하면 원자력, 나노기술 등 주요 국가정보가 (북한과 중국 등에서 활동하는) 해커들의 손 안에 넘어갈 수 있다"고 했다.

이해성 기자 ihs@hankyung.com