검색에서 주소만 입력해도 관리자페이지 접속돼...보안 관리 구멍! 관리자ID와 담당자이름, 연락처 등 치명적 정보도 적나라하게 노출

[보안뉴스 오병민] 국민건강보험공단 자금운용 커뮤니티 사이트가 단순한 구글 검색만으로도 관리자 계정이 노출되는 것이 확인돼 충격을 주고 있다.

보안뉴스에서 취재한 결과, 국민건강보험공단 자금운용 커뮤니티사이트가 별다른 해킹기술 없이 단순히 구글 검색만으로도 관리자 계정에 접속되는 것으로 확인됐다. 구글 검색에서 해당 사이트 주소만 입력해도 관리자 계정으로 접속이 가능하다는 것. 또 해당 URL이 포함된 특정 문자열로도 관리자 페이지 접속이 가능했다.  
 
검색된 페이지를 클릭하면 ‘공단전용페이지입니다’라는 메시지 경고창 팝업이 나오고 난 후 바로 관리자 계정으로 접속되는 것을 확인했다. 

▲해당 URL을 구글 검색창에 치면 위와같은 검색결과가 나온다. ⓒ보안뉴스
 

▲위 검색결과중 하나를 클릭하면 다음과 같은 메시지창이 뜨고 <확인>을 클릭하면 아래 관리자 페이지로 이동이 된다. ⓒ보안뉴스

 ▲구글검색에서 단지 주소입력만으로 접속된 국민건강보험공단 자금운용 커뮤니티 관리자 페이지 ⓒ보안뉴스

 

▲관리자 페이지에는 공단 자금운용 커뮤니티 사이트에 가입된 기업과 담당자, 연락처 등이 보이고 삭제 또는 변경도 가능하다. 이 사이트는 국민건강보험공단 재정관리실 페이지로 보일 오해의 소지가 다분하지만 확인결과 공단 자금운용을 위한 커뮤니티 사이트로 밝혀졌다. ⓒ보안뉴스
 
검색으로 접속되는 관리자 계정에는 회원으로 가입된 여러 증권사 및 국민건강보험공단 관계자, 관리자ID, 담당자 이름, 레벨, 회사명, 연락처, 가입일자 등의 고급 정보가 공개돼 있으며, 이런 내용을 삭제 및 수정할 수 있는 버튼이 노출돼 있다.
 
보안업계 한 전문가는 “만약 악의적인 목적을 가진 악성 해커에게 관리자의 ID와 이름, 연락처가 노출되면 시중에 떠도는 개인정보 리스트를 구매해서 패스워드를 파악할 수 있어 공단내 모든 정보를 빼내갈 수 있는 상황”이라면서 “아이디와 패스워드만 있으면 관리자 계정을 탈취해 개인정보 유출이나 회사정보 유출 등 악의적인 목적으로 정보를 이용할 수 있기 때문”이라고 말한다. 즉, 노출된 관리자 페이지에서 보여주는 정보만 가지고도 큰 피해를 입힐 수 있다는 이야기다.   

이 같은 문제는 구글의 강력한 검색엔진을 통해 자동으로 수집한 웹정보에 관리자 계정 정보까지 포함됐기 때문인 것으로 파악되고 있다. 구글은 자동화 기술과 사용자에게 제공하는 툴바를 통해 웹정보를 수집하고 있다.

그러나 보통 관리자 페이지가 구글에 의해 수집됐다하더라도, 구글 검색 링크로는 접속이 불가능해야 정상이다. 따라서 이렇게 관리자 페이지의 접속이 가능한 것은 개발당시부터 지금까지 보안에 대한 테스트와 관리가 소홀했다는 것을 반증할 수 있다.


한편, 보안업계 전문가들은 구글의 광범위한 정보 수집으로 국내 보안을 위협하는 부분도 적지 않다고 경고하고 있다. 업계에서는 구글 검색만으로도 해킹을 할 정도라해서 ‘구글링 해킹’이라는 용어도 널리 쓰이고 있고 관련된 서적도 점차 늘어나고 있는 상황. 

한국인터넷진흥원 한 관계자는 “구글은 웹 검색 능력을 향상시키기 위한 방법으로 자동화된 툴이나 툴바를 통해 수많은 웹 정보를 수집하는 작업을 하고 있고 그중에는 보안을 위협하는 정보도 적지 않다는 것을 파악하고는 있다”면서 “하지만 구글은 외국계 기업이기 때문에 이를 제한할 만한 명분이 없어 주민등록번호와 같이 민감한 사안에 대해서만 구글의 협조를 요청해 검색을 제한하고 있다”고 말했다.
 
현재 이 사이트를 운영하던 모 증권금융 관계자는 "보안뉴스 기사를 확인 후 해당 사이트를 폐쇄조치했다"며 "다시는 이런 일이 없도록 보안관리에 만전을 기하겠다"고 강조했다.
 
구글 검색결과 이 사이트가 국민건강보험공단 재정관리실에서 운영하는 페이지로 보일 수 있지만 확인결과 국민건강보험공단에서 관리하는 것이 아닌 것으로 밝혀졌다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>