고객 개인정보 노출은 물론 금전적 피해까지 입을 수 있어
[보안뉴스 민세아] 구글 검색을 사용하는 해킹 기법인 구글 해킹에 아직도 많은 웹사이트가 취약한 것으로 드러났다.

▲ 구글 해킹으로 인해 민감한 정보가 노출될 수 있다.

구글 해킹은 구글 검색엔진에 특정 문자열을 입력, 저장된 결과 페이지로 접근해 정보를 획득하거나 서비스의 여러 취약점들을 검색해 서버의 민감한 정보들을 수집하는 해킹 기법을 의미한다. 여기서 더 나아가 웹사이트의 권한관리가 제대로 되지 않은 경우 관리자 페이지가 노출되거나 심지어 고객정보까지 노출될 수 있다.

본지가 제보받은 바에 따르면 배달음식 통합 쿠폰북 앱인  ‘XXXX폰북’과 종합 임대주택 관리 사이트인 ‘XXXX 주택관리’ 사이트가 구글 해킹 기법에 취약한 것으로 알려졌다.

이들 웹사이트는 관리자 권한 설정이 미흡해 구글에서 관련 키워드 검색만으로도 쉽게 관리자 페이지에 접근이 가능한 것으로 드러났다.
‘XXXX폰북’은 앱을 통한 가맹점 배달주문 시 주문 금액에 따라 포인트를 적립하고, 이를 현금처럼 사용할 수 있는 서비스를 제공한다. ‘XXXX 주택관리’ 사이트는 임대사업자가 임차인 등록 및 월세/관리비 수금업무, 고객불만 접수 및 처리 업무, 수입지출, 관리보고서 등 임대사업에 필요한 업무를 지원한다.

구글 검색으로 쉽게 접속할 수 있는 XXXX폰북 관리자 페이지에서는 포인트 조작이 가능해 금액 결제 없이 주문이 가능하고, 업소별 메뉴 정보, 사용자 주문 정보, 업소별 월 매출액, 가입회원들의 이름, 전화번호 및 주소지 등이 노출돼 있는 것으로 드러났다.

마찬가지로 구글에서 접근 가능한 ‘XXXX 주택관리’ 관리자 페이지는 각 건물별 입주현황과 임차인 관리비 납기 내역, 임대인의 이름과 전화번호를 손쉽게 확인할 수 있다.

구글 해킹을 차단하기 위한 보안방법으로 구글에 직접 데이터 삭제 요청을 하거나 웹서버 루트 디렉터리의 robot.txt를 설정해 검색엔진에 노출되는 것을 막을 수 있다. 하지만 일반 기업의 웹사이트 운영자들은 자신들에게 직접적인 피해가 없는 한 이러한 사실에 관심이 없거나 잘 알지 못하는 경우가 대부분이다.

그러나 최근 개인정보보호법 개정안이 지난 6일 국회 본회의를 통과하면서 개인정보 유출 피해자가 피해를 입증하지 않아도 최대 300만원까지 배상받을 수 있는 ‘법정손해배상제’와 개인정보를 고의적으로 유출시킨 기관과 사업자 등에게 실제 손해액을 초과해 최대 3배까지 배상하도록 하는 ‘징벌적 손해배상제’가 적용되기 때문에 기업들이 웹사이트 운영에 더욱 만전을 기해야 할 것으로 보인다.

해당 취약점을 본지에 제보한 정보보안 전문업체 CISA(Cyber intelligence Security Agency)의 대표 N37W0RKSYS73M(닉네임)은 “해당 업체에 통보했지만, 취약점이 아직 조치되지 않은 상태”라며, 빠른 시일 내에 조치가 필요하다고 당부했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>