구글 개인정보 노출, 40%가 홈피관리자의 실수

구글 등 검색엔진을 통해 발생하는 주민번호 노출사고의 40% 가량이 관리자의 페이지에서 발생한 것으로 파악됐다.

정보통신부와 한국정보보호진흥원(KISA)이 지난 2월과 4월에 실시한 주민번호 노출점검 결과에 따르면, 전체 노출 건수의 약 30~40%가 관리자 페이지에서 노출되고 있는 것으로 나타났다.

특히 관리자 페이지는 주민번호는 물론 인사기록, 금융계좌, 의료기록 등 민감한 개인정보들도 적지않았던 것으로 지적됐다.

이는 홈페이지 개발자가 검색엔진에 대한 고려 없이 브라우저만을 대상으로 홈페이지를 개발하는 관행 때문이라는 것이 KISA측 설명이다.

즉, 개발 편의를 위해 웹서버에서 인증페이지와 관리자 페이지를 동시에 브라우저로 보낼 경우, 브라우저는 인증에 성공한 경우만 관리자 페이지를 볼 수 있으나, 검색 엔진은 인증에 실패해도 같이 전송된 관리자 페이지를 자동으로 수집하기 때문이다.

또한 홈페이지 개발자가 관리자 페이지의 시작점(인증 요청 페이지)에만 인증을 실시해도 일반 이용자는 하위 URL을 모르는 경우 관리자 페이지에 접근할 수 없으나, 검색엔진은 수 많은 URL을 수집해서 링크를 따라 다니는 속성 때문에 관리자 페이지가 외부의 홈페이지 등에 링크가 걸려 있으면 언젠가는 관리자 페이지로 접근 할 수 있다.

이와 관련, KISA는 구글 등 검색기술의 발전에 따라 인증이 설정돼 있는 관리자 페이지가 검색엔진에 노출 되는 것을 방지할 수 있는 안내 책자를 제작해 4일부터 배포에 들어갔다.

이번에 배포하는 홈페이지 개인정보 노출원인과 대응방법은 웹사이트 보안실패로 인한 개인 정보 노출 원인을 ▲인증오류로 인한 노출 ▲클라이언트 사이드 스크립트 인증으로 인한 노출 ▲디렉터리 리스팅으로 인한 노출 ▲검색배제 표준 미적용으로 인한 노출 등 4가지로 분석해 그 원인과 대응방법을 각각 소개하고 있다.


한국정보보호진흥원은 이번 책자를 홈페이지 제작 및 웹호스팅업체, 홈페이지 교육기관, 홈페이지 보안실패로 인한 개인정보 노출 업체 등을 대상으로 무료로 배포할 예정이다. 또한 누구든지 정보통신부(www.mic.go.kr) 및 한국정보보호진흥원 홈페이지(www.kisa.or.kr)를 통해 파일로도 내려 받아 볼 수 있다.