본문 바로가기

신동아 로고

통합검색 전체메뉴열기

단독공개

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

‘경찰청 e메일’ ‘외교부 출장정보’도 뚫려 있다

  • 송홍근│동아일보 신동아 기자 carrot@donga.com│

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

3/4
국세청, 보건복지가족부를 제외한 거의 모든 기관에서 해커가 특정 정보조회명령을 입력해 특정 페이지를 노출시킨 뒤 디렉토리 정보나 라이브러리 정보를 획득할 수 있는 취약점도 발견됐다.

“요즘엔 이런 방법으로 공격자가 특정 페이지를 열어 볼 수 있는 곳이 많지 않습니다. 그 페이지를 통해 공격자가 해킹 힌트를 얻을 수 있거든요. 이런 것도 막아놓지 않다니 이해하기 어렵네요. 물론 이 페이지가 나타난다고 해서 해킹이 이뤄지는 건 아니지만 이건 아닙니다. 정부기관 웹페이지의 보안은 무척 중요하지 않나요. 국민의 개인정보가 범죄 집단에 넘어가거나 장관 소유 e메일의 패스워드 같은 게 외부로 알려지면….”(B씨)

“이 페이지가 나타나면 안 돼요. 비교적 심각한 사안입니다. 해커가 이 페이지를 통해 공격의 단서를 찾을 수 있기 때문입니다.”(C교수)

아이디/패스워드 해킹

지난해 7월12일 ‘연합뉴스’는 정보당국자의 말을 인용해 “2004년 이후 현재까지 북한이 해킹을 통해 최소 165만명에 달하는 남측 인사의 개인 신상정보를 빼낸 것으로 당국이 파악하고 있다”고 보도했다. ‘신동아’도 지난해 7월 “북한이 정동영 전 장관을 비롯한 안보당국자 e메일을 대량 해킹했다”고 보도한 바 있다.



“정보당국을 가장 긴장케 한 것은 해커그룹이 안보당국 관계자들의 e메일 패스워드를 다량 확보해 리스트화해 놓았다는 사실이었다. 그 직전까지 통일부 장관과 국가안전보장회의(NSC) 상임위원장을 겸임했던 정동영 당시 열린우리당 의장의 장관 시절 e메일을 포함해, 관련 당국자만 해도 수백 건의 e메일과 패스워드가 역해킹한 자료에서 확인됐다. 문제는 그 가운데 당국자들이 개인적으로 사용하는 포털사이트 e메일 패스워드뿐 아니라 정부기관 메일의 아이디와 패스워드도 일부 포함돼 있었다는 사실. 뒤집어 말하면 해당 정부 당국자들이 개인 메일을 통해 주고받은 자료를 해커들이 열람할 수 있었던 것은 물론, 정부 메일을 통해 오간 자료에도 접근할 수 있었다는 이야기였다. 이렇듯 유출된 e메일 패스워드의 당사자는 청와대 안보실과 국방부, 합동참모본부 등 주로 안보부처 당국자들이었지만, 사실상 정부 중앙부처 거의 전 기관에 걸쳐 패스워드 해킹이 시도됐다.”(신동아 2009년 8월호 ‘北, 2006년 정동영 전 장관 등 안보당국자 e메일 대량 해킹’ 제하 기사 참조)

이렇듯 정부를 상대로 한 사이버 공격은 어제오늘 일이 아니다. 2006년 안보당국자 e메일 대량 해킹은 “해커가 관리자인 것처럼 서버에 접근해 저장돼 있는 주요 인사들의 패스워드 계정을 통째로 복사해가는 식이었다”고 관계자들은 전한다.

관리자는 ‘신’

‘신동아’가 입수한 문건에 따르면 ‘경찰청 e메일’은 공격자가 B공격을 이용해 사용자의 개인 정보 및 중요 정보를 이용할 수 있다. 또한 해커가 ‘쉽게 관리자로 로그인이 가능하다’는 지적도 받았다. ‘사이버 경찰청’도 사정은 비슷하다. 관리자 페이지 접근이 가능했으며 특정 파일을 업로드해 가동하는 방식으로도 해킹이 가능하다.

A씨는 “관리자는 웹상에서 ‘신’이라고 생각하면 된다”면서 “외부인이 관리자 지위를 얻었다는 건 시스템 안에 있는 모든 정보를 빼낼 수 있다는 의미로 이해하면 된다”고 설명했다. 외교통상부의 ‘성과시스템’ ‘해외출장정보’ 등도 ‘쉽게 관리자로 로그인 가능’하거나 중요정보를 공격자가 이용할 수 있는 것으로 드러났다. 특히 외교통상부의 한 웹페이지는 로그인 인증을 우회해 관리자처럼 접근하는 것도 가능했다.

한 전문가는 “로그인을 우회해서 관리자 페이지로 접근할 수 있는 것은 보안 담당자의 실수 혹은 무지로도 보이는 사안으로 심각하면서도 멍청한 일”이라고 꼬집었다.

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’


3/4
이 기자의 다른기사 더보기
목록 닫기

정부 대외비 문건에 나타난 ‘공공기관 웹 취약점 실태’

댓글 창 닫기

2020/02Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.