[단독] 과기부 12개 산하기관 新해킹 취약점 50건 발견 … 해커에 무방비
- 개요
- 과학기술정보통신부 산하 12개 기관을 대상으로 한 블라인드 해킹 테스트에서 총 50건의 신규 보안 취약점이 발견됨
- 주요 취약점으로 인해 해커가 시스템 접근 및 중요 정보 유출을 시도할 수 있었던 심각한 상황이 발생할 수 있었음
- 이에 대한 주기적인 모니터링 및 신속한 대응이 요구됨
- 주요 취약점
- 파라미터 변조 및 인증/세션 관리 취약점: 18건
- 공격자가 웹 애플리케이션의 파라미터나 세션 정보를 변조하여 비인가된 방식으로 서버에 접근할 수 있는 취약점
- 중요 정보 노출 취약점: 12건
- 서버 버전이나 경로 등 중요한 시스템 정보가 외부에 노출되어 공격자에게 정보를 제공하는 문제
- 크로스 사이트 스크립트(XSS) 및 크로스 사이트 요청 위조(CSRF) 취약점: 9건
- 공격자가 웹 페이지에 악성 스크립트를 삽입해 사용자 정보를 탈취할 수 있는 위험
- 기타 취약점:
- 파일 업/다운로드 취약점, SQL Injection(입력값 조작) 취약점, 원격 관리 서비스 접근 통제 미흡, 관리자 페이지 노출 등 다양한 취약점이 각각 1~2건씩 발생
- 파라미터 변조 및 인증/세션 관리 취약점: 18건
- 위험 분석
- 이러한 취약점을 통해 공격자가 시스템 제어권을 확보할 수 있으며, 실제 해킹 시 국가 중요 정보가 유출될 위험이 큼
- 특히 핵심 과학기술을 다루는 기관에서 다수의 취약점이 발견되어, 해커의 공격에 대해 심각한 무방비 상태였음
- 대응 및 조치
- 과기부는 해당 취약점 발견 직후 각 기관에 한 달 내 조치할 것을 통보했고, 현재 모든 조치가 완료되었다고 밝힘
- 다만 신규 취약점은 계속 발생할 수 있는 특성이 있어, 주기적인 모니터링과 엄격한 사전 대응이 필수적임
- 전문가 의견
- 박기웅 교수
- 국가 보안시설과 같은 중요 시스템에서의 보안 취약점은 피해가 더욱 클 수 있으며, 취약점이 많을수록 공격 성공률이 높아짐. 주기적인 스캐닝 및 모니터링 강화가 필요하다고 강조
- 박기웅 교수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
CBDC 개인정보보호 강화 기술 세미나 개최 (1) | 2024.09.28 |
---|---|
통일부 대상 사이버 공격 급증: 보안 강화 필요 (1) | 2024.09.28 |
델, 연이은 정보 유출 사고에도 침묵… 보안 위협 심화 (0) | 2024.09.28 |
NIST, 새로운 지침에서 복잡한 비밀번호 요구와 주기적인 변경 의무화 폐기 (0) | 2024.09.27 |
국가 SW 공급망 보안정책 마련 위한 태스크포스 발족 (1) | 2024.09.27 |