개인정보 노출 유형·분야 가지각색...공공·국방·교육·금융 등 총망라 대부분 오랫동안 노출된 채 방치...2차 피해 발생했을 가능성 높아   

[보안뉴스 권 준] 세계 최대 포털사이트인 구글에서 검색만으로 개인정보가 노출되는 문제는 비단 어제 오늘만의 얘기는 아니다. 그러나 별다른 해킹 기술 없이도 누구나 손쉽게 유출할 수 있다는 점에서 가장 심각한 문제이기도 하다. 




현재 구글 검색, 소위 구글링을 통해서 개인정보가 노출되는 유형은 크게 △개인정보 직접 노출 △관리자 페이지 노출에 따른 파일 또는 DB 유출 △각종 보고서·첨부파일 검색에 따른 유출 △포털 카페 및 블로그 게시글 통한 유출 △FTP 서버 노출 등으로 구분할 수 있다.

이에 본지는 인터넷 보안전문가 허장녕 씨의 도움을 받아 앞서처럼 다양한 방법으로 노출되고 있는 개인정보들을 유형별·분야별로 분석해봤다. 

실제 그 실태를 분석해봤더니 구글 검색을 통해 노출되고 있는 개인정보는 상상 이상이었다. 분야도 정부부처의 공무원 명단을 비롯해서 공공, 국방, 교육, 금융, 일반기업 임직원들이 총망라돼 있었다. 개인정보가 무방비로 노출된 기간도 가지각색인데, 심지어 10년 가까이 된 것들도 상당수였다.  

특히, 보고서, 참가신청서, 탄원서 등 각종 문서 및 파일 검색을 통해 노출되고 있는 개인정보들은 대부분 정부부처 공무원이나 민원인들의 개인정보여서 노출을 통한 2차 피해도 지속적으로 발생했을 가능성이 높다.

더욱이 국방관련 모 정부부처에서 주최한 학술행사의 참가신청자 명단의 경우 방위산업 관련 대기업계열사, 중소기업 핵심기술 인력의 개인정보들을 대거 포함하고 있었다.


유출유형
유출정보 종류
유출인원
유출항목
분야
문서(보고서)검색
국정감사증인명단
132명
이름, 주민번호
공공
문서(참가신청서)검색
모정부부처 주최 학술대회 참가신청서명단
830명
이름, 주민번호, 소속회사, 휴대폰번호(조치됐으나 구글 Cache에 여전히 노출)
국방
문서(탄원서)검색
모정부부처 홈페이지 게시판
1명
이름, 주민번호, 주소, 연락처
공공
문서(보고서)검색
모은행 등기이사 명단
39명
이름, 주민번호
금융
문서(의사록)검색
모기업 정기주주총회 의사록
2명
이름 ,주민번호, 주식보유현황, 배당현황
금융
문서(운용역 변경 공시) 검색
모자산운용사 운용역 명단
4명
이름, 주민번호
금융
문서검색
모자산운용사 금융전문가 명단
8명
이름, 주민번호
금융
문서(납입고지서)검색
모정부부처 납입고지서
1명
이름, 주민번호, 주소
공공
문서검색
모지방청 실업급여공시송달자 명단
25명
이름, 주민번호 앞자리, 주소
공공
문서(귀국보고서)검색
모정부부처 교육공무원 귀국보고서
2명
이름, 주민번호, 소속, 직급, 여행지 등
공공
문서검색
모정부부처 산하공단 관리기업
42명
대표자성명, 주민번호, 회사주소, 연락처, 사업자번호 등
공공
문서검색
모지자체 공시송달명단
68명
조치됐으나 구글 Cache에 여전히노출
공공
문서검색
모대학교 작업자 이력카드
8명
조치됐으나 구글 Cache에 여전히노출
교육
문서검색
모업체 직원교육생명단
39명
이름, 소속, 직위, 휴대폰번호 등
기업
문서검색
모정부부처산하 공공기관 사이트내 교사명단
11명
교사이름, 주민번호, 활동사항
공공
내부인트라넷검색
모지자체산하 테크노파크 인트라넷
16명
이름, 주민번호
기업
내부인트라넷검색
모협회 그룹웨어
8명
이름, 주민번호, 입찰가, 인감 등 민감정보
공공
외국사이트 검색(http://www.v*.com/) 
한국인주민번호
6,035명
주민번호
　
외국사이트(www.v*.com) 검색
모대학교 사이버교육과정 수강
1,078명
이름, 주민번호
교육
외국사이트 검색(http://www.scr***.com/)
모국립대학교 이러닝센터 등록학생
1만명 이상
이름, 주민번호
교육
외국사이트(www.div*****.net) 검색
한국인주민번호
1만2천여명
이름, ID, 주민번호, 휴대폰번호 ,이메일 주소 등
　
FTP서버검색
모지자체 수출지원단 직원이력서, 재직증명서, 경력증명서 등
46명
이름, 주민번호, 전화번호, 주소, 경력사항 등 다수
공공
FTP서버검색
모학원사이트 학생 입학원서
84명
중고등학생이름, 주민번호, 학교명, 계열 등
교육
FTP서버검색
모기업 교육과정 직원명단
19명
이름, 주민번호
기업
포털 카페 게시글 검색
모정부부처 안전진단업체 등록현황
250명
대표자성명, 주민번호, 회사주소, 연락처 등
공공
포털 카페 첨부파일 검색
전자공무원증 발급용 사진
15명
이름, 주민번호, 증명사진
공공
포털 카페 첨부파일 검색
보험계약자정보
26명
이름, 주민번호, 계약일, 가입보험사, 보험료
금융


 ▲ 표. 구글 검색만으로 노출된 개인정보 유형별·분야별 분류  


 
이번에 확인된 일부 개인정보는 특정 외국사이트들에도 버젓이 노출돼 있어 중국 등 외국 해커들에게 악용됐을 가능성이 높다는 게 보안전문가들의 우려다.    

이와 관련 한 보안전문가는 “소위 구글링을 통한 개인정보 및 보안취약점 노출은 가장 기본적인 취약점에 속하지만, 이 부분을 보안담당자나 IT개발자들이 의외로 등한시하고 있다”며, “문제를 확인했을 경우는 구글 측에 신속히 조치를 요청해야 하고, 사전예방을 위해서는 루트 폴더에 ‘robots.txt’를 만들어 ‘User-agent: *; Disallow: /’ 등의 내용을 입력해 구글 검색엔진에 걸리지 않도록 하는 등 다양한 방법을 강구해야 한다”고 강조했다. 

이에 본지는 개인정보가 노출돼 있는 기관·기업을 대상으로 한 통보 및 개인정보 회수 작업과 함께 구글 검색을 통한 유형별·분야별 개인정보 노출실태를 좀더 세부적으로 진단해나갈 예정이다.  

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>