한국XX상담협회와 XXX평생학습관, 구글 검색 통해 무방비로 노출
한국XX상담협회, 해킹 정황도 포착...검색 노출 문제 여전히 개선되지 않아

[보안뉴스 김경애 기자] 한국XX상담협회와 XXX평생학습관 내부 인트라넷이 구글 검색을 통해 노출되는 정황이 포착됐다. 더욱이 한국XX상담협회 인트라넷의 경우 해커에 의해 해킹된 정황도 포착돼 부실한 웹사이트 및 내부용 인트라넷 관리가 또 다시 도마 위에 올랐다.


구글 검색을 통해 노출된 내부 인트라넷 웹페이지에는 기관명과 비밀번호 등이 노출돼 있으며 수강생 현황, 수강과정 등록, 자료실, 공지사항, 위탁기관 현황 등의 정보를 확인할 수 있다.

특히, 한국XX상담협회의 경우 외부 해커에 의해 해킹된 정황도 발견됐다. 기관명 게시판에 ‘leaked by i87 kurdish hacker’이라고 표기돼 있다.

이어 XXX평생학습관 인트라넷 웹페이지 역시 구글 검색을 통해 무방비로 노출됐다. 인트라넷 웹페이지에는 관계자 이름, 메일 주소, 기관정보 등을 살펴볼 수 있다.

이와 관련 바이러스 수집가 엘뤼아르는 “내부 회사정보가 구글 검색을 통해 여전히 노출되는 문제가 곳곳에서 발견되고 있다”며 “어떤 곳보다 보안을 신경써야 내부 인트라넷이 구글 검색을 통해 노출된다는 것은 기본적인 보안 관리에 문제가 있는 것으로, 각종 사이버 범죄에 악용되거나 해킹 공격을 당할 소지가 있다”고 지적했다.

그러면서 엘뤼아르는 “내부에서는 인증 받은 자만 접속할 수 있도록 조치를 강화하고, 가입 시에는 2차 인증 등을 적용해 해킹 등 범죄에 악용되지 않도록 해야 한다”고 당부했다.

라온시큐어 이종호 연구원은 “중요 정보가 있는 페이지에서는 웹 관리자가 로봇 배제 표준 (robots.txt)을 이용해 검색 엔진 크롤링을 방지해야 한다”고 강조했다.

위키백과에 따르면 로봇 배제 표준은 웹사이트에 검색 로봇이 접근하는 것을 방지하기 위한 규약으로, 일반적으로 접근 제한에 대한 설명을 robots.txt에 기술한다.

이 규약은 권고안이며, 로봇이 robots.txt 파일을 읽고 접근을 중지하는 것을 목적으로 한다. 따라서 접근 방지 설정을 방지했다고 해도 다른 사람들이 해당 파일에 접근할 수 있어 robots.txt 파일은 항상 웹사이트의 루트 디렉토리에 위치해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>