관리자의 부주의에서 비롯돼...잠재적인 보안위협 커
[보안뉴스 호애진] 홈페이지 데이터베이스(DB) 계정정보가 관리자의 실수 또는 부주의에 의해 웹에 노출돼 간단한 구글링만으로도 이를 알아낼 수 있는 것으로 나타났다.

본지에 들어온 제보에 따르면, 확인된 웹사이트는 개인 홈페이지를 비롯해 K대학, A학원 및 K쇼핑몰 등이며, 이들 웹사이트 외에도 수십여개가 넘을 것으로 추정되고 있다.
 

  ▲웹에 노출된 DB 계정정보. 아이디와 패스워드를 쉽게 확인할 수 있다.
 
공격자가 해당 계정 정보를 통해 DB 서버에 접속, 개인정보를 탈취할 수 있어 이에 대한 보안대책 마련이 시급한 상황이다. 특히, 쇼핑몰의 경우 금융거래 정보가 포함됐을 가능성이 높다.

물론 해당 업체가 앞단에 접근통제와 권한관리 등을 적용했다면 접근 자체가 되지 않지만, 이러한 정보가 웹에 노출됐다는 사실만으로도 잠재적인 보안 위협이 크다고 볼 수 있다.

이 중에는 S대학교 정보보호학과 교수의 홈페이지도 포함돼 문제의 심각성을 여실히 보여줬다. 반면, K대학교 수리과학과 웹사이트의 경우, 현재는 운영되지 않은 것으로 드러났고, 해당 사이트 관리자에게 계정 삭제를 요청한 상태다.
A학원과 K쇼핑몰은 본지의 문제점 제기와 취재에 비협조적이었다. 외주업체에 웹사이트 관리를 맡기고, 관리에 소홀한 이들은 “어떻게 그러한 정보를 알았느냐”, “누가 왜 제보를 했냐” 등의 반응만 보였다. 이것이 국내 보안수준 및 의식의 현주소인 셈이다.

이와 관련 한 보안전문가는 “DB 계정정보가 웹에 노출된 것은 관리자의 부주의에서 비롯된다”고 지적하고, “관리자는 구글 검색 엔진이 자료 수집(크롤링)을 하지 못하도록 차단해야 한다”고 덧붙였다.
[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>