전체기사 최신뉴스 GAM 라씨로
KYD 디데이
경제 공기업

속보

더보기

[국감] 한전 고객 46만명 정보 '보안 취약' 드러나

기사입력 : 2018년10월21일 10:11

최종수정 : 2018년10월22일 06:38

작년 3월 '여기어때' 공격했던 'SQL인젝션' 수법에 취약
도면·시험성적서 등은 구글 해킹으로 유출 가능

[세종=뉴스핌] 최온정 수습기자 = 한국전력공사의 보안 시스템 취약으로 46만명의 정보가 유출될 위험이 있다는 것이 확인됐다. 도면·시험성적서 및 핵심자료는 구글을 이용한 해킹으로도 얻을 수 있었다.

20일 김규환 의원(자유한국당)이 한국전력공사로부터 제출받은 자료에 따르면 한전은 구축한 정보시스템과 차세대 SCADA 시스템(차세대 송변전자동화시스템)에 대한 정밀 보안 진단을 수행했다.

정보시스템 모의 해킹 결과, 이들 시스템 9대에서 50건의 취약점이 발견됐다. 전체적으로 서비스 권한관리(불충분한 세션 관리)가 돼 있지 않는 경우가 많은 것으로 드러났다. 

일반적으로 조치관점에서 웹 취약점을 보면 파라미터 검증 불충분(SQL 인젝션, 크로스사이트 스크립팅, 파일 업로드·다운로드), 권한관리 불충분(URL 강제접속, 불충분한 세션 관리, 매개변수 조작), 부적절한 시스템 구조(관리자 페이지 노출, 사용자 측 스크립트 조작, 쿠키변조) 로 나누어 볼 수 있다.

한전의 경우 취약점 진단에서 3가지 분류 항목에 해당되는 취약점이 모두 도출됐으며, 특히 차세대 SCADA 시스템이 SQL 인젝션 공격을 받으면 45만8640개의 개인정보가 유출될 수 있는 것으로 확인됐다.

SQL(Structured Query Language·DB 작성에 사용되는 프로그래밍 언어)인젝션이란 조작된 SQL 질의문을 삽입해 웹서버 DB를 열람하고 정보를 유출·조작하는 해킹 공격을 말한다. 작년 3월 숙박 서비스 '여기어때'를 공격해 99만건의 개인정보를 유출한 수법도 SQL 인젝션이었다.

[자료=한국전력공사, 김규환 의원실]

한편 구글 해킹을 통해서도 내부민감(도면, 시험성적서, 등기부 등본, 핵심자료 엑셀문서 등) 파일이 쉽게 노출 가능한 것으로 확인됐다. 특히 세션 관리 부족 등으로 로그인 하지 않은 사외 사용자가 내부 문서를 쉽게 열람 혹은 악용 할 수 있는 것이 드러났다.

모의해킹테스트는 한국전력공사 보안담당자의 사전 승인을 얻어 협의된 정보 시스템을 대상으로 진행됐다. 정보 시스템의 보안 취약점을 도출하고 이를 사전에 제거함으로써 내·외부의 악의 적인 공격으로부터 대상 서비스 및 정보를 보호하기 위한 목적이었다.

김 의원은 "전문기관을 통해 실제 운영환경에서 발생할 수 있는 위협을 도출하고 이에 대한 대응방안을 마련함으로써 정보시스템의 무결성·가용성·기밀성의 향상을 해야 한다"고 말했다.

또한 그는 "모의해킹테스트는 특정한 서비스를 기준으로 시행한 것이라서 더 많은 취약점을 찾아내기 위한 정기적인 해킹테스트가 필요하지만 한전은 시행하지 않았다"고 지적했다.

 

onjunge02@newspim.com

[뉴스핌 베스트 기사]

사진
SKT '유심 교체' 북새통...내 차례 올까 [인천=뉴스핌] 김학선 기자 = 가입자 유심(USIM) 정보를 해킹 당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 인천의 한 대리점에서 고객들이 유심 교체를 위해 줄을 서 차례를 기다리고 있다. SKT는 사이버침해 피해를 막기 위해 이날 오전 10시부터 전국 2600여곳의 T월드 매장에서 희망 고객 대상 유심 무료교체 서비스를 진행한다. 2025.04.28 yooksa@newspim.com   2025-04-28 12:12
사진
"화웨이, 엔비디아 H100 능가 칩 개발" [서울=뉴스핌]박공식 기자 = 중국 화웨이가 미국이 수출 금지한 엔비디아 칩을 대체할 최신 인공지능(AI) 칩을 개발해 제품 시험을 앞두고 있다고 월스트리트저널(WSJ)이 현지 시간 27일 보도했다. 신문은 화웨이가 일부 중국 기술기업에 새로 개발한 '어센드(Ascend) 910D'의 시험을 의뢰했다고 전했다. 어센드 910D는 엔비디아의 H100보다 성능이 더 우수한 것으로 평가되고 있으며 이르면 5월 말 시제품이 나올 것으로 예상된다. 앞서 로이터통신은 21일 화웨이가 자체 개발한 AI칩 910C를 내달 초 중국 기업에 대량 출하할 계획이라고 보도한 바 있다. 화웨이를 비롯한 중국 기업들은 데이터를 알고리즘에 제공해 더 정확한 결정을 내리게 하는 훈련 모델용으로 엔비디아 칩에 필적하는 첨단 칩을 개발하는 데 주력해왔다. 미국은 중국의 기술 개발을 억제하기 위해 B200 등 최첨단 엔베디아 칩의 중국 수출을 금지하고 있다. H100의 경우 2022년 제품 출하 전에 중국 수출을 금지했다.  중국 베이징에 있는 화웨이 매장 [서울=뉴스핌]박공식 기자 = 2025.04.28 kongsikpark@newspim.com kongsikpark@newspim.com 2025-04-28 12:26
안다쇼핑
Top으로 이동