KISA, 홈페이지 개인정보 노출원인과 대응방안 책자 발간

구글 등 검색엔진으로 인한 개인정보 노출 방지 목적

전체 노출 30~40%, 관리자 페이지에서 노출

 

한국정보보호진흥원(KISA, 원장 황중연)은 구글 등 검색기술의 발전에 따라 인증이 설정되어 있는 관리자 페이지가 검색엔진에 노출 되는 것을 방지할 수 있는 안내 책자 ‘홈페이지 개인정보 노출원인과 대응방안’을 제작하여 배포한다고 4일 밝혔다.

한국정보보호진흥원이 정보통신부와 함께 올해 2월과 4월 실시한 주민번호 노출 점검 결과에 따르면, 전체 노출 건수의 약 30~40%가 관리자 페이지에서 노출되고 있는 것으로 나타났다. 특히 관리자 페이지는 주민번호는 물론 인사기록, 금융계좌, 의료기록 등 민감한 개인정보 들이 많이 있다는 점에서 피해가 크다.

이번에 배포하는 ‘홈페이지 개인정보 노출원인과 대응방법’은 웹사이트 보안실패로 인한 개인 정보 노출 원인을 인증오류로 인한 노출, 클라이언트 사이드 스크립트 인증으로 인한 노출, 디렉터리 리스팅으로 인한 노출, 검색배제 표준 미적용으로 인한 노출 등 4가지로 분석하여 그 원인과 대응방법을 소개하고 있다.

홈페이지 개인정보 노출의 중요한 원인은 홈페이지 개발자가 검색엔진에 대한 고려 없이 브라우저만을 대상으로 홈페이지를 개발하는 관행 때문인 것으로 밝혀졌다.

KISA 관계자는 “이는 개발의 편의를 위해 웹 서버에서 인증페이지와 관리자 페이지를 동시에 브라우저로 보낼 경우 브라우저는 인증에 성공한 경우만 관리자 페이지를 볼 수 있으나, 검색 엔진은 인증에 실패해도 같이 전송된 관리자 페이지를 자동으로 수집하기 때문”이라고 강조했다. 

또 그는 “홈페이지 개발자가 관리자 페이지의 시작점(인증 요청 페이지)에만 인증을 실시해도 일반 이용자는 하위 URL을 모르는 경우 관리자 페이지에 접근할 수 없으나, 검색엔진은 수 많은 URL을 수집해서 링크를 따라 다니는 속성 때문에 관리자 페이지가 외부의 홈페이지 등에 링크가 걸려 있으면 언젠가는 관리자 페이지로 접근 할 수 있다”고 경고했다.

이번 책자 보급은 그 동안 검색엔진에 대한 고려 없이 홈페이지를 개발하던 관행을 바꾸는 데에 크게 일조 할 것으로 기대된다. 이는 홈페이지 개발자가 이번 책자를 통해 홈페이지 제작ㆍ운영시 브라우저는 물론 검색엔진에 대한 경각심을 고취할 수 있을 것이기 때문이다.

한국정보보호진흥원은 이번 책자를 홈페이지 제작 및 웹호스팅업체, 홈페이지 교육기관, 홈페이지 보안실패로 인한 개인정보 노출 업체 등을 대상으로 무료로 배포할 예정이다. 또한 누구든지 정보통신부(www.mic.go.kr) 및 한국정보보호진흥원 홈페이지(www.kisa.or.kr)를 통해 파일로도 내려 받아 볼 수 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>