한국전력공사가 새로 구축한 정보시스템과 차세대 SCADA 시스템이 보안에 취약한 것으로 나타났다.

특히, 공사가 보관 중인 고객의 개인정보나 시험성적서, 등기부등본, 도면 등 민감자료는 구글 검색에서 쉽게 발견할 수 있었다.

20일 김규환 자유한국당 의원(국회 산업통상자원중소벤처기업위원회)이 한전으로부터 제출받은 정보시스템 모의 해킹 결과 자료에 따르면 대상시스템 9대에서 50건의 취약점이 발견됐는데, 전체적으로 서비스 권한권리(불충분한 세션관리)가 돼 있지 않았다.

모의해킹테스트는 정보 시스템의 보안 취약점을 도출하고, 이를 사전에 제거함으로써 내·외부의 악의적인 공격으로부터 대상 서비스 및 정보를 보호하기 위한 목적으로, 한전 보안담당자의 사전 승인을 얻어 협의된 정보 시스템을 대상으로 시스템 보안 수준을 점검한 것이다.

일반적으로 조치관점에서 웹 취약점은 ▲파라미터 검증 불충분(SQL 인젝션, 크로스사이트 스크립팅, 파일 업로드·다운로드) ▲권한관리 불충분(URL 강제접속, 불충분한 세션 관리, 매개변수 조작) ▲부적절한 시스템 구조(관리자 페이지 노출, 사용자 측 스크립트 조작, 쿠키변조)로 나눠볼 수 있는데, 한전의 경우 취약점 진단에서 3가지 분류 항목에 해당되는 취약점이 모두 도출됐다.

‘송변전용기보상관리 시스템’의 경우 SQL인젝션을 통해 고객들의 개인정보를 확인할 수 있었는데, 확인 가능한 고객 개인정보는 45만8,640개에 달했고, 주민등록번호는 평문으로 저장돼 있었다.

또한 권한 없는 사용자가 비밀번호를 변경하는 서비스에 강제로 접속해 타인의 비밀번호를 변경할 수 있었고, ‘지중순시용역 통합관리 시스템’에서는 휴대폰 인증번호를 자바스크립트를 통해 확인하고 이써 해당 스크립트 조작을 통해 휴대폰 인증 없이 로그인이 가능했다.

이와 함께 구글 해킹을 통해 도면, 시험성적서, 등기부 등본, 핵심자료 엑센문서 등 내부민감 파일을 쉽게 얻을 수 있었다.

김 의원은 “전문기관을 통해 실제 운영환경에서 발생할 수 있는 위협을 도출하고 이에 대한 대응방안을 마련함으로써 정보 시스템의 무결성, 가용성, 기밀성을 높여야 한다”며 “테스트에서 드러난 대부분의 취약점은 보안시점에서부터 고려했어야 하는 문제”라고 말했다.

이어 “모의해킹테스트는 특정한 서비스를 기준으로 시행한 것이라서 더 많은 취약점을 찾아내기 위한 정기적인 해킹 테스트가 필요하지만, 한전은 시행하지 않았다”고 지적했다.