김 의원 "한국전력공사 모의해킹 개인정보 45만건 유출 우려"

사진 / 뉴시스
사진 / 뉴시스

[시사포커스 / 이영진 기자] 한국전력공사의 민감 자료 등이 구글 검색을 통해 쉽게 노출 가능한 것으로 알려졌다.

20일 자유한국당 김규환 의원이 한국전력공사로부터 제출받은 자료에 따르면 한전은 구축한 정보시스템과 차세대 SCADA 시스템에 대한 정밀 보안 진단을 수행한 것으로 나타났다.

정보시스템 모의 해킹 결과자료에 따르면 대상 시스템 9대에서 50건의 취약점이 발견됐다. 전체적으로 서비스 권한권리(불충분한 세션관리)가 되어있지 않는 경우가 많았다. 이중 위험도가 높아 우선적으로 조치해야 할 취약점은 SQL인젝션, 파일 업로드/다운로드, 불충분한 세션 관리 취약점이었다.

일반적으로 조치관점에서 웹 취약점을 보면 피라미터 검증 불충분, 권한관리 불충분, 부적절한 시스템 구조로 나뉜다.

또한 구글 해킹을 통해 내부민감(도면, 시험성적서, 등기부 등본, 핵심자료 엑셀문서 등) 파일이 쉽게 노출 가능한 것으로 확인됐다.

이는 ‘구글검색을 통해 대상 사이트에 대한 기본자료 검색’, ‘파일 다운로드 경로에 분석을 통한 다운로드 서비스 취약점 유추’, ‘다운로드 자동화 스크립트를 작성하여 공격 시도 순으로 진행된 시나리오’이다.

김 의원에 따르면 전문가들은 불충분한 세션관리 문제는 수정하기가 어렵지만 즉시 보완을 해야 하는 취약점이라고 말했다. 모의해킹테스트는 한국전력공사 보안담당자의 사전 승인을 득한 후에 협의된 정보 시스템을 대상으로 시스템 보안 수준을 점검한 것이다. 이를 통해 정보 시스템의 보안 취약점을 도출하고 이를 사전에 제거함으로써 내·외부의 악의 적인 공격으로부터 대상 서비스 및 정보를 보호하기 위한 목적이었다.

한편 김 의원은 “전문기관을 통해 실제 운영환경에서 발생할 수 있는 위협을 도출하고 이에 대한 대응방안을 마련함으로써 정보시스템의 무결성, 가용성, 기밀성의 향상을 해야 한다.”고 말하며 “테스트에서 드러난 대부분의 취약점은 보안시점에서부터 고려했어야 하는 문제점이다”고 지적했다.

저작권자 © 시사포커스 무단전재 및 재배포 금지