| 구글에서 떠도는 개인정보, 유형별로 분석했더니... | 2014.07.14 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
개인정보 노출 유형·분야 가지각색...공공·국방·교육·금융 등 총망라
대부분 오랫동안 노출된 채 방치...2차 피해 발생했을 가능성 높아 [보안뉴스 권 준] 세계 최대 포털사이트인 구글에서 검색만으로 개인정보가 노출되는 문제는 비단 어제 오늘만의 얘기는 아니다. 그러나 별다른 해킹 기술 없이도 누구나 손쉽게 유출할 수 있다는 점에서 가장 심각한 문제이기도 하다.
현재 구글 검색, 소위 구글링을 통해서 개인정보가 노출되는 유형은 크게 △개인정보 직접 노출 △관리자 페이지 노출에 따른 파일 또는 DB 유출 △각종 보고서·첨부파일 검색에 따른 유출 △포털 카페 및 블로그 게시글 통한 유출 △FTP 서버 노출 등으로 구분할 수 있다. 이에 본지는 인터넷 보안전문가 허장녕 씨의 도움을 받아 앞서처럼 다양한 방법으로 노출되고 있는 개인정보들을 유형별·분야별로 분석해봤다. 실제 그 실태를 분석해봤더니 구글 검색을 통해 노출되고 있는 개인정보는 상상 이상이었다. 분야도 정부부처의 공무원 명단을 비롯해서 공공, 국방, 교육, 금융, 일반기업 임직원들이 총망라돼 있었다. 개인정보가 무방비로 노출된 기간도 가지각색인데, 심지어 10년 가까이 된 것들도 상당수였다. 특히, 보고서, 참가신청서, 탄원서 등 각종 문서 및 파일 검색을 통해 노출되고 있는 개인정보들은 대부분 정부부처 공무원이나 민원인들의 개인정보여서 노출을 통한 2차 피해도 지속적으로 발생했을 가능성이 높다. 더욱이 국방관련 모 정부부처에서 주최한 학술행사의 참가신청자 명단의 경우 방위산업 관련 대기업계열사, 중소기업 핵심기술 인력의 개인정보들을 대거 포함하고 있었다.
▲ 표. 구글 검색만으로 노출된 개인정보 유형별·분야별 분류
이번에 확인된 일부 개인정보는 특정 외국사이트들에도 버젓이 노출돼 있어 중국 등 외국 해커들에게 악용됐을 가능성이 높다는 게 보안전문가들의 우려다. 이와 관련 한 보안전문가는 “소위 구글링을 통한 개인정보 및 보안취약점 노출은 가장 기본적인 취약점에 속하지만, 이 부분을 보안담당자나 IT개발자들이 의외로 등한시하고 있다”며, “문제를 확인했을 경우는 구글 측에 신속히 조치를 요청해야 하고, 사전예방을 위해서는 루트 폴더에 ‘robots.txt’를 만들어 ‘User-agent: *; Disallow: /’ 등의 내용을 입력해 구글 검색엔진에 걸리지 않도록 하는 등 다양한 방법을 강구해야 한다”고 강조했다. 이에 본지는 개인정보가 노출돼 있는 기관·기업을 대상으로 한 통보 및 개인정보 회수 작업과 함께 구글 검색을 통한 유형별·분야별 개인정보 노출실태를 좀더 세부적으로 진단해나갈 예정이다.
[권 준 기자(editor@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
