[서울이코노미뉴스 박희만 기자] 과학기술정보통신부가 산하기관을 대상으로 실시한 블라인드 모의해킹 테스트에서 총 457건의 신규 보안 취약점이 발견돼 지난해보다 취약점 수가 오히려 증가한 것으로 나타났다.
28일 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원이 과기정통부에서 제출받은 ‘2025년 자체 해킹 모의테스트 결과’에 따르면, 이번 점검은 40개 산하기관을 대상으로 진행됐으며 총 457건의 취약점이 확인됐다.
기관별로는 한국과학기술원(KAIST)이 47건으로 가장 많은 취약점을 기록했다. 이어 대구경북과학기술원(DGIST) 45건, 한국재료연구원 37건, 한국생산기술연구원 28건, 한국지능정보사회진흥원(NIA) 25건, 한국화학연구원 21건 등이 뒤를 이었다.
발견된 취약점 유형 가운데 가장 빈번한 항목은 ‘파라미터 변조 및 인증·세션 관리’로 121건에 달했다.
이 밖에 중요정보(서버정보·절대경로 등) 노출 108건, 크로스사이트스크립트(XSS)·교차위조요청(CSRF) 등 스크립트 관련 취약점 46건 등의 순이었다.
최수진 의원실은 파라미터 변조와 인증·세션 관리 취약점에 대해 “공격자가 입력값을 조작해 시스템 동작을 변경하거나, 인증·세션 정보를 탈취·도용해 비인가 접근을 시도할 수 있다”고 설명했다.
중요정보 노출은 서버 버전 등 내부정보가 외부에 노출돼 침투경로를 제공할 수 있는 게 문제이며, XSS·CSRF 등은 웹페이지에 악성 스크립트를 삽입해 이용자 정보를 탈취하는 공격이라고 덧붙였다.
또한 관리자 페이지 노출 40건, 파일 업·다운로드 취약점 16건, 원격관리서비스 접근통제 미흡 10건 등도 지적됐다.
지난해에는 44개 기관을 대상으로 한 모의테스트에서 431건의 취약점이 도출된 바 있다.
올해는 점검대상 기관수는 줄었음에도 불구하고 적발건수는 오히려 늘어나는 양상이다.
한국과학기술연구원(KIST), 한국연구재단 등 아직 집계중인 기관들의 결과가 추가되면 연말 전체 취약점 수는 더 증가할 것으로 최 의원측은 전망했다.
최 의원은 “공공기관 웹서비스의 보안 취약점이 지난해보다 개선되지 않고 오히려 심각해졌다”며 “국가기술과 관련된 중요정보가 블랙해커의 내부망 침입 시도나 서버 정보 노출로 유출될 위험이 있다”고 경고했다.