한국전력공사 민감 자료 구글검색으로 쉽게 유출가능....고객정보 45만 건, 등기부등본, 도면, 시험성적서 등
한국전력공사 민감 자료 구글검색으로 쉽게 유출가능....고객정보 45만 건, 등기부등본, 도면, 시험성적서 등
  • 김상민 미래한국 기자
  • 승인 2018.10.20 11:20
  • 댓글 0
이 기사를 공유합니다

한국전력공사 모의해킹 개인정보 45만 건 유출 우려! 취약점 50개 서비스에서 발견

자유한국당 김규환 의원(산업통상자원중소벤처기업위원회)이 한국전력공사로부터 제출받은 자료에 따르면, 한전은 구축한 정보시스템과 차세대 SCADA 시스템에 대한 정밀 보안 진단을 수행한 것으로 나타났다.

정보시스템 모의 해킹 결과자료에 따르면 대상시스템 9대에서 50건의 취약점이 발견됐다. 전체적으로 서비스 권한권리(불충분한 세션관리)가 되어 있지 않는 경우가 많다. 이중 위험도가 높아 우선적으로 조치해야 할 취약점은 SQL인젝션, 파일 업로드/다운로드, 불충분한 세션 관리 취약점이다.
 

자유한국당 김규환 의원
자유한국당 김규환 의원

일반적으로 조치관점에서 웹 취약점을 보면 파라미터 검증 불충분, 권한관리 불충분, 부적절한 시스템 구조로 나누어 볼 수 있다. 한전의 경우 취약점 진단에서 3가지 분류 항목에 해당되는 취약점이 모두 도출되었으며 진단과정에서 발견된 문제점들을 요약하면 아래와 같다.

1. 파라미터 검증 불충분(SQL 인젝션, 크로스사이트 스크립팅, 파일 업로드/다운로드

2. 권한관리 불충분(URL 강제접속, 불충분한 세션 관리, 매개변수 조작)

3. 부적절한 시스템 구조(관리자 페이지 노출, 사용자 측 스크립트 조작, 쿠키변조)

또한 구글해킹을 통해 내부민감(도면, 시험성적서, 등기부 등본, 핵심자료 엑셀문서 등) 파일이 쉽게 노출 가능한 것으로 확인됐다. 이는 △구글검색을 통해 대상 사이트에 대한 기본자료 검색 △파일다운로드 경로에 분석을 통한 다운로드 서비스 취약점 유추 △다운로드 자동화 스크립트를 작성하여 공격 시도 순으로 진행된 시나리오이다. 테스트 결과, 로그인 하지 않은 사외 사용자가 내부 문서를 쉽게 열람 혹은 악용 할 수 있는 것이 드러났다. 발견된 취약점 종류는 불충분한 세션관리와 매개변수 조작이다.

김규환 의원은, “전문기관을 통해 실제 운영환경에서 발생할 수 있는 위협을 도출하고 이에 대한 대응방안을 마련함으로써 정보시스템의 무결성, 가용성, 기밀성의 향상을 해야 한다.”고 말하며, “테스트에서 드러난 대부분의 취약점은 보안시점에서부터 고려했어야 하는 문제점이다.”고 지적했다.

이어 김 의원은, “모의해킹테스트는 특정한 서비스를 기준으로 시행한 것이라서 더 많은 취약점을 찾아내기 위한 정기적인 해킹테스트가 필요하지만 한전은 시행하지 않았다.”고 지적했다.

본 기사는 시사주간지 <미래한국>의 고유 콘텐츠입니다.
외부게재시 개인은 출처와 링크를 밝혀주시고, 언론사는 전문게재의 경우 본사와 협의 바랍니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.