본문 바로가기

신동아 로고

통합검색 전체메뉴열기

단독공개

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

‘경찰청 e메일’ ‘외교부 출장정보’도 뚫려 있다

  • 송홍근│동아일보 신동아 기자 carrot@donga.com│

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

2/4
“제가 아직도 요주의 대상이거든요.”

A씨는 “2003년 국세청 해킹 사건 때는 연루되지 않았으나 철없던 시절 나쁜 짓을 한 적이 있다”면서 이렇게 말했다.

“어릴 적 일인데, 1등 상품인 DVD에 눈이 멀어서 경품사이트를 해킹한 적이 있어요. 1등 당첨자를 제 이름으로 바꿔놓았죠. 그런데 해킹하면서 뭔가를 잘못 건드려 ‘1등’이 ‘1당’으로 바뀌었어요. 실수로 해킹 흔적을 남기는 바람에 역추적당했습니다. 경품사이트 해킹은 사실 아주 쉽습니다. 홈페이지를 임시로 만드는 터라 보안에 신경을 덜 쓰거든요.”

국세청은 ‘우수’

전문가 3인의 평가를 종합하면 국세청, 보건복지가족부는 ‘우수’했다. 두 기관이 운영하는 웹페이지들엔 취약점이 거의 없었다. 여성부 기상청 문화재청도 ‘양호’했다. 반면 행정안전부 대검찰청 경찰청 등이 운영하는 일부 웹페이지는 ‘심각’했다. 보안 실태가 ‘나쁨’이거나 ‘심각’한 웹페이지를 가진 기관이 23개 기관 중 18곳에 달했다.



우수 : 국세청 보건복지가족부

양호 : 여성부 기상청 문화재청

나쁨 : 기획재정부 국토해양부 외교통상부 통일부 농림수산식품부 법무부 병무청 산림청 중소기업청 특허청

심각 : 행정안전부 대검찰청 경찰청 해양경찰청 농촌진흥청 식품의약품안전청 국민권익위원회 공정거래위원회

‘심각’으로 분류된 정부기관은 하나같이 A공격(문건엔 구체적인 공격루트와 방법이 적혀 있으나 기사에선 A, B, C, D, E 공격으로 표기했다)에 취약함을 드러냈다. 이 공격을 통해 해커들은 관련 기관의 중요 정보를 획득하거나 데이터베이스의 구조, 내용을 파악할 수 있다. 외국의 해킹그룹 사이트엔 이 공격을 수행하는 도구도 공개돼 있다고 한다.

“A공격으로 어렵지 않게 관리자 권한을 획득할 수 있어요. 심각한 정도를 0부터 5까지로 나누면 5에 해당하는 사안입니다. 시급히 보완책을 마련해야 합니다.”(A씨)

“A공격은 널리 알려진 방법입니다. 웹페이지를 개발할 때부터 방어 코딩에 신경을 써야 하는데 그렇게 하지 않았던 것 같습니다.”(B씨)

“이 취약점을 이용해 디도스 공격도 할 수 있습니다. 정부기관 웹페이지가 다른 곳을 공격할 때 숙주 기능을 할 수도 있다는 거죠.”(C교수)

지난해 7월7일부터 사흘간 이어진 디도스 공격은 정보를 절취해가는 형태의 해킹은 아니었다. B씨는 “지난해 디도스 공격은 더욱 강력한 공격을 위해 트래픽 정보를 얻어가는 차원에서 한 것으로 볼 수 있다. 공격 대상의 능력과 특성을 알아두면 나중에 치명적 공격을 감행할 때 큰 도움이 된다”고 말했다.

2/4
이 기자의 다른기사 더보기
목록 닫기

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

댓글 창 닫기

2019/12Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.