미(美) 항공교통관제 네트워크에 연결된 웹 애플리케이션에 대한 감사 결과, 수백 개에 이르는 소프트웨어 취약점과 수십 개에 이르는 미해결된 사이버 침해가 발견됐다고 미(美) 연방 항공국(Federal Aviation Administration)이 발표했다.

미 교통국(Department of Transportation) 감찰부(Office of the Inspector General, 이하 IG)의 감사원들과 회계 회사 KPMG는 조사를 통해 일반 대중과 FAA 직원들에게 정보를 전달하는 웹 서버에서 763개의 고위험(high-risk) 보안 문제를 발견했다고 전했다.

지난 4일(현지 시간) 공식 발표된 미(美) 교통국 감찰부(IG)의 “항공교통관제의 웹 애플리케이션 보안과 침입 탐지에 관한 보고서(Review of web applications security and intrusion detection in air traffic control systems)”에 따르면 IG 감사원들은 70개의 웹 애플리케이션을 테스트한 결과 763개의 고위험 취약성을 포함해 3천개 이상의 취약점을 발견했다. 특히 이 중에는 부적절한 웹 애플리케이션 설정과 정기적으로 패치되지 않은 소프트웨어의 알려진 보안 이슈들이 포함된 것으로 나타났으며, 취약한 패스워드 및 중요 파일 폴더가 보호되지 않고 있음이 확인됐다.

IG 감사원들은 또한 보고서를 통해 ATC 시스템을 지원하는 웹 애플리케이션이 공격이나 비인가된 접근에 대해 적절히 보호되지 않고 있으며, 무엇보다 FAA가 ATC 시설의 잠재적인 사이버 보안 사건을 모니터하고 탐지하기 위한 적절한 침입 탐지 기능을 구축하지 않았다고 지적했다.

감사원들은 또한 지난 2008년 한 해 동안 미(美) 항공관제기관(Air Traffic Organization)에 대해 800건 이상의 사이버 침해 경고가 발행되었음을 확인했다. 특히 지난해 말 현재 150개의 침해 사건은 해결되지 않은 상태였다고 IG 감사원들은 전했다.

한편, 이번 조사 결과 FAA는 정부 보안 표준에 해당되는 웹 애플리케이션 정비를 포함해 패치관리 프로세스, 모든 네트워크를 커버하는 침입탐지 시스템 확장 등 총 다섯 개의 감사원 권고를 받은 것으로 알려졌다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>