[뉴스프리존, 국회= 김선영 기자] 20일, 국회 산업통상자원중소벤처기업위원회 소속 자유한국당 김규환 의원이 한국전력공사로부터 제출받은 자료를 확인한 결과 한전은 구축한 정보시스템과 차세대 SCADA 시스템에 대한 정밀 보안 진단을 수행했다.
정보시스템 모의 해킹 결과자료에 따르면 대상시스템 9대에서 50건의 취약점이 발견됐다.
전체적으로 서비스 권한권리(불충분한 세션관리)가 되어 있지 않는 경우가 많다.
이중 위험도가 높아 우선적으로 조치해야 할 취약점은 SQL인젝션, 파일 업로드/다운로드, 불충분한 세션 관리 취약점이다.
일반적으로 조치관점에서 웹 취약점을 보면 파라미터 검증 불충분, 권한관리 불충분, 부적절한 시스템 구조로 나누어 볼 수 있다.
한전의 경우 취약점 진단에서 3가지 분류 항목에 해당되는 취약점이 모두 도출되었으며 진단과정에서 발견된 문제점들을 요약하면 아래와 같다.또한 구글해킹을 통해 내부민감(도면, 시험성적서, 등기부 등본, 핵심자료 엑셀문서 등) 파일이 쉽게 노출 가능한 것으로 확인됐다.
이는 △구글검색을 통해 대상 사이트에 대한 기본자료 검색 △파일다운로드 경로에 분석을 통한 다운로드 서비스 취약점 유추 △다운로드 자동화 스크립트를 작성하여 공격 시도 순으로 진행된 시나리오이다.
테스트 결과, 로그인 하지 않은 사외 사용자가 내부 문서를 쉽게 열람 혹은 악용 할 수 있는 것이 드러났다. 발견된 취약점 종류는 불충분한 세션관리와 매개변수 조작이다.
이날 김규환 의원은 "전문기관을 통해 실제 운영환경에서 발생할 수 있는 위협을 도출하고 이에 대한 대응방안을 마련함으로써 정보시스템의 무결성, 가용성, 기밀성의 향상을 해야 한다"며 "테스트에서 드러난 대부분의 취약점은 보안시점에서부터 고려했어야 하는 문제점이다"고 지적했다.