구글 검색만으로 관리자 페이지 노출, 회원 개인정보·이력서 무방비

[보안뉴스 민세아] 취업 전문 웹사이트 관리자 페이지에 쉽게 접속해 13만 명의 개인정보와 800개 이상의 이력서를 무단 열람할 수 있다는 사실이 드러났다.

문제가 된 벤처취업전문포털 V JOB은 벤처기업협회에서 운영하는 곳으로, 벤처기업과 취업준비생들을 연결해주는 창구 역할을 하는 곳이다.

구글 해킹 방식으로 해당 웹사이트 관리자 페이지에 접속 가능한 문제점을 이용해 가입회원 13만 명의 개인정보와 800여 개의 이력서를 무단으로 열람할 수 있을 뿐만 아니라 웹사이트에 올라온 채용공고를 수정하거나 삭제할 위험성이 제기됐다. 구글 해킹은 구글 검색엔진에 특정 문자열을 입력해 나오는 결과 값에서 민감한 정보들을 수집하는 해킹 기법을 의미한다.

해당 문제점으로 인해 가입회원의 이름, 성별, 나이, 아이디, 전화번호, 메일주소, 집주소, 지원분야, 학력사항 등이 노출되는데, 이러한 정보들은 2차 범죄에 악용될 우려가 있다. 또한, 채용공고를 악의적으로 수정해 지원자들의 혼선을 유도할 가능성도 있다.

특히, 악의적인 목적을 가진 사용자가 관리자 권한을 갖게 되면 악성링크를 웹사이트에 심어 홈페이지에 접속한 사용자들이 악성코드에 감염될 수 있을 뿐만 아니라 해당 웹사이트를 악성코드 유포지 및 경유지로도 악용할 수 있다.

이와 관련 벤처기업협회 관계자는 “관리자 페이지에 대한 접근은 기존에 인가받은 사용자만 접근할 수 있도록 운영하고 있었으나, 연초에 V JOB 홈페이지 유지보수업체에서 DB통폐합 작업을 하면서 일부 테스트 파일이 노출된 것으로 보인다. 현재는 신속하게 조치 완료한 상태”라고 전했다.

이를 본지에 제보한 서울호서전문학교 사이버해킹보안과 장웅태 씨는 “구글 해킹으로 인한 개인정보 노출을 막기 위해선 개인정보를 보유하고 있는 온라인 사업자들의 각별한 주의와 지속적인 관리가 필요하다”고 전했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>