과학기술정보통신부가 산하기관을 상대로 실시한 블라인드(비공개) 해킹 모의테스트에서 신규 취약점 457건이 발견됐다. 기관 수는 줄었지만 취약점은 오히려 늘어난 것으로, 연구·기술 분야 공공시스템의 보안 취약성이 도드라졌다.
28일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 과기정통부로부터 제출받아 공개한 '2025년 자체 해킹 모의테스트 결과'에 따르면, 한국과학기술원(KAIST) 47건, 대구경북과학기술원(DGIST) 45건, 한국재료연구원 37건, 한국생산기술연구원 28건, 한국지능정보사회진흥원 25건, 한국화학연구원 21건 등에서 다수의 취약점이 나왔다.
유형별로는 파라미터 변조와 인증·세션 관리 취약이 121건으로 가장 많았다. 이어 서버 정보·절대경로 등 중요정보 노출 108건, 크로스사이트스크립팅(XSS)·CSRF 등 웹 기반 취약점 46건 순이었다.
파라미터 변조와 인증·세션 관리 취약은 공격자가 입력값을 조작하거나 세션 정보를 탈취해 비인가 접근을 시도하는 방식이다. 중요정보 노출은 서버 버전 등 내부 정보가 외부에 드러나 공격 표적이 되기 쉬운 상태를 말하며, XSS 등은 웹페이지에 악성 스크립트를 심어 이용자 정보를 빼내는 공격으로 이어질 수 있다.
이 밖에 관리자 페이지 노출 40건, 파일 업·다운로드 취약 16건, 원격관리서비스 접근통제 미흡 10건 등이 지적됐다.
지난해 같은 성격의 모의테스트에서는 44개 기관을 대상으로 431건의 취약점이 보고됐다. 올해는 점검 대상 기관 수가 줄었음에도 취약점이 늘어났고, 아직 집계가 끝나지 않은 한국과학기술연구원, 한국연구재단 등의 결과가 연말에 더해지면 전체 수치는 더 커질 것으로 보인다.
최 의원은 "과학기술 분야 공공 웹서비스의 취약점이 오히려 심화됐다"며 "블랙해커의 내부망 침입 시도나 서버 정보 유출 등 현실적 공격 위험이 커진 만큼 보강 대책 마련이 시급하다"고 했다.