구글 검색 통해 치과관련 학회 관리자 페이지 노출...1만명 이상 개인정보 주르르
유추 가능한 관리자 패스워드, URL경로 등 사용금지...인증·암호화 필요
[보안뉴스 김경애] 구글 검색을 통해 개인정보가 여전히 무더기 노출되고 있는 것으로 드러났다. 특히, 특정 웹사이트는 허술한 관리자 페이지로 인해 1만명 이상의 개인정보가 노출됐으며, 여러 지역에 설치된 CCTV 영상이 그대로 보여지는 등 문제가 심각한 상황이다.
▲구글 검색을 통해 노출된 관리자 페이지
이를 본지에 알려온 단용훈 씨는 “여전히 구글 검색을 통해 관리자 페이지가 무방비 상태로 노출되고 있다”며 “이는 공격자가 홈페이지와 관련된 내부 정보를 변조하거나 삭제, 악성코드 삽입 등 사이버공격을 할 수 있다”고 우려했다.
또 다른 제보자 이동한 씨도 “구글 검색을 통해 암호화하지 않은 CCTV 영상을 권한 없이도 볼 수 있다”며 “이는 CCTV 설정이나 암호화가 미흡해서 발생된느 것으로, 중요 설비와 기계가 설치된 곳은 CCTV 영상이 노출되면 더욱 위험할 수 있어 각별히 조심해야 한다”고 우려했다.
특히, 최근에는 북한의 사이버공격 위협 고조로 각종 ‘사이버위기경보’가 격상된 단계에 있기 때문에 웹사이트 보안에 만전을 기해야 한다는 지적이다. 개인정보 등이 유출되면 2차 사이버공격에 악용될 수 있기 때문이다.
그럼에도 구글검색을 통한 개인정보 노출은 여전히 개선되지 않고 있다. 치과관련 학회 사이트의 경우 관리자 페이지의 관리 소홀로 약 1만명 이상의 회원정보가 모두 노출됐던 것으로 알려졌다.
▲구글 검색을 통해 노출된 치과관련 학회 개인정보
노출된 정보는 회원등급, 회원상태, 이름, 아이디, 영문이름, 생년월일, 이메일 주소, 집주소, 성별, 핸드폰번호, 직업구분, 직장주소, 카드결제내역, 연회비 납부내역, 출신학교와 졸업년도, 카드결제내역, 연회비 납부내역, 납입일자, 결제방법, 결제된 액수, 면허번호, 회비구분 등 상세한 내역이 모두 포함됐다.
이에 대해 학회 관계자는 “전체적인 웹사이트 관리를 외부에 맡기고 있어 제대로 인지하지 못했다”며 “현재는 조치를 완료했다”고 밝혔다.
노브레이크 박찬주 수석은 “개발단계에서 쉽게 유추할 수 있는 관리자 패스워드, URL경로, 그리고 파라미터 정보를 절대 사용하지 말아야 한다”며 “중요정보를 보여주는 페이지에 관리자 인증정보를 재확인하는 과정을 추가하고, 중요정보 마스킹 처리와 함께 데이터베이스를 암호화해야 한다. 일반 페이지와 관리자 페이지를 분리하는 것도 방법”이라고 당부했다.
덧붙여 MS 강흥수 연구원은 “보안담당자를 둘 여력이 안 된다면 전문업체의 컨설팅을 받는 것도 방법”이라며 “무엇보다 웹사이트 보안에 관심을 기울여야 한다”고 강조했다.
한편, 구글 사이트의 URL 접근 차단 방법은 구글 사이트를(https://support.google.com/webmasters/topic/4598466?hl=ko&ref_topic=4617736)를 참고하면 된다.
[김경애 기자(boan3@boannews.com)]
유추 가능한 관리자 패스워드, URL경로 등 사용금지...인증·암호화 필요
[보안뉴스 김경애] 구글 검색을 통해 개인정보가 여전히 무더기 노출되고 있는 것으로 드러났다. 특히, 특정 웹사이트는 허술한 관리자 페이지로 인해 1만명 이상의 개인정보가 노출됐으며, 여러 지역에 설치된 CCTV 영상이 그대로 보여지는 등 문제가 심각한 상황이다.
▲구글 검색을 통해 노출된 관리자 페이지
이를 본지에 알려온 단용훈 씨는 “여전히 구글 검색을 통해 관리자 페이지가 무방비 상태로 노출되고 있다”며 “이는 공격자가 홈페이지와 관련된 내부 정보를 변조하거나 삭제, 악성코드 삽입 등 사이버공격을 할 수 있다”고 우려했다.
또 다른 제보자 이동한 씨도 “구글 검색을 통해 암호화하지 않은 CCTV 영상을 권한 없이도 볼 수 있다”며 “이는 CCTV 설정이나 암호화가 미흡해서 발생된느 것으로, 중요 설비와 기계가 설치된 곳은 CCTV 영상이 노출되면 더욱 위험할 수 있어 각별히 조심해야 한다”고 우려했다.
특히, 최근에는 북한의 사이버공격 위협 고조로 각종 ‘사이버위기경보’가 격상된 단계에 있기 때문에 웹사이트 보안에 만전을 기해야 한다는 지적이다. 개인정보 등이 유출되면 2차 사이버공격에 악용될 수 있기 때문이다.
그럼에도 구글검색을 통한 개인정보 노출은 여전히 개선되지 않고 있다. 치과관련 학회 사이트의 경우 관리자 페이지의 관리 소홀로 약 1만명 이상의 회원정보가 모두 노출됐던 것으로 알려졌다.
▲구글 검색을 통해 노출된 치과관련 학회 개인정보
노출된 정보는 회원등급, 회원상태, 이름, 아이디, 영문이름, 생년월일, 이메일 주소, 집주소, 성별, 핸드폰번호, 직업구분, 직장주소, 카드결제내역, 연회비 납부내역, 출신학교와 졸업년도, 카드결제내역, 연회비 납부내역, 납입일자, 결제방법, 결제된 액수, 면허번호, 회비구분 등 상세한 내역이 모두 포함됐다.
이에 대해 학회 관계자는 “전체적인 웹사이트 관리를 외부에 맡기고 있어 제대로 인지하지 못했다”며 “현재는 조치를 완료했다”고 밝혔다.
노브레이크 박찬주 수석은 “개발단계에서 쉽게 유추할 수 있는 관리자 패스워드, URL경로, 그리고 파라미터 정보를 절대 사용하지 말아야 한다”며 “중요정보를 보여주는 페이지에 관리자 인증정보를 재확인하는 과정을 추가하고, 중요정보 마스킹 처리와 함께 데이터베이스를 암호화해야 한다. 일반 페이지와 관리자 페이지를 분리하는 것도 방법”이라고 당부했다.
덧붙여 MS 강흥수 연구원은 “보안담당자를 둘 여력이 안 된다면 전문업체의 컨설팅을 받는 것도 방법”이라며 “무엇보다 웹사이트 보안에 관심을 기울여야 한다”고 강조했다.
한편, 구글 사이트의 URL 접근 차단 방법은 구글 사이트를(https://support.google.com/webmasters/topic/4598466?hl=ko&ref_topic=4617736)를 참고하면 된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
