은밀한 상담글과 휴대폰 번호, 이메일 등 개인정보 쉽게 취득 가능
40개중 7개 홈페이지 취약...구버전 웹게시판 이용하기 때문

[보안뉴스 오병민] 개인병원의 보안실태가 엉망인 것으로 드러났다. 별다른 해킹툴이나 해킹 기술을 이용하지 않고 주소창의 숫자를 변경하는 것만으로 비밀 상담 글을 열람할 수 있는 개인병원 홈페이지가 적지 않기 때문.

개인병원 홈페이지 비밀글은 상담을 위해 휴대폰 번호와 이메일 등 개인정보를 입력하는 경우가 많고 개인의 민감한 내용을 포함하고 있어 쉽게 노출될 경우 그 정보를 이용한 2차 범죄에 이용될 수 있다.

현재 성형외과나 피부과, 비뇨기과, 산부인과 등 많은 개인병원들이 의료시술 상담을 위해 비밀상담 게시판을 운영하고 있다. 운영 중인 비밀상담 게시판에는 상담을 위해 휴대폰과 이메일 등 개인정보를 비롯해 개인적인 의료상담 내용을 입력하도록 돼 있지만 적지 않은 개인병원 홈페이지들이 보안이 허술해 입력한 내용이 손쉽게 노출되는 것으로 본지 조사결과 드러났다.

비밀 상담글을 열람하는 데는 별다른 해킹 기술이 필요하지 않았다. 상담글 수정 페이지의 주소창에 나타난 숫자를 일부 변경하는 것만으로 가능했던 것.

이 취약점을 제보한 국제보안/해킹문제사이트 ‘핵미’(http://www.hack-me.org/) 운영자  김슬기(20세, 女) 화이트해커는 “많은 개인병원들이 보안에 취약한 구식 웹게시판을 이용해 비밀글이 쉽게 열람되는 취약점을 지니고 있다”면서 “비밀번호를 입력한 사용자만 비밀글을 열람하도록 하는 기능과 주소창 암호화가 안돼 있는 것이 문제로 보인다”고 말했다.

보안뉴스는 해당 제보를 받고 무작위로 선정한 전국 40개의 개인병원을 대상으로 노출여부를 점검해본 결과 전체의 28%인 7개의 사이트가 해당 취약점에 노출돼 있는 것으로 확인했다.

문제에 노출된 대다수 홈페이지들은 최소 1년 전에 개발된 경우가 많고, 전문의가 1~3명 내외의 소규모 개인병원이 대부분이었기 때문에 홈페이지 관리자가 따로 없어 웹 게시판의 보안패치가 제대로 이뤄지지 않은 것으로 파악되고 있다.

해당 문제점에 노출된 성형외과와 피부과, 산부인과, 비뇨기과 등의 개인병원 홈페이지 비밀 상담글에는 개인적이고 은밀한 상담내용이 포함돼 있고, 상담을 위한 휴대폰 번호와 이메일 주소 등 중요한 개인정보도 포함돼 있어 대대적인 보안조치가 요구되고 있다.

보안업계 한 전문가는 “개인병원과 같은 소규모 의료기관 홈페이지들은 개인이나 소규모 사업자에 의해 개발되는 경우가 많고 관리담당자도 없어 보안관리가 허술하기 쉽다”면서 “의료기관의 비밀 상담글은 개인정보뿐만 아니라 신체정보와 의료 정보 등 중요한 정보가 다수 포함돼 있어 외부에 노출될 경우 범죄에 이용될 수 있기 때문에 보완대책이 시급해 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>