대한민국해군 장교 지원자, 구글 검색 통해 주민번호 등 18개 개인정보 노출
주민번호와 수험번호로도 검색... 암호화 조치 없이 그대로
[보안뉴스 김경애] 대한민국해군 장교 지원자 정보가 구글 검색을 통해 모두 노출됐다. 특히, 지원자의 수험번호나 주민번호 입력만으로도 지원자의 신체정보와 민감한 개인정보까지 여과 없이 노출된 것으로 드러났다.
▲ 구글 검색을 통해 노출된 해군장교 지원자의 개인정보 목록
이를 본지에 알려온 한 제보자는 지난 25일 “구글검색을 통해 해군 지원자의 개인정보가 노출되고 있다”며 “지원서류에는 시력과 혈액형과 같은 신체정보부터 주민번호 등 개인정보를 전부 볼 수 있다”고 지적했다.
이에 본지가 구글 검색을 통해 확인한 결과 2015년 10월에 모집한 해군 지원서류인 현역복무지원서(예비장교후보생)가 PDF 파일 형태로 노출되고 있었다. 해당 지원서에는 성명, 주민번호, 이메일, 전화번호, 핸드폰 번호, 주소, 병역, 학력, 고등학교·대학교 등 출신학교, 신장, 체중, 시력, 혈액형, 가족사항, 경력, 기술자격증, 지원서에 부착된 사진 등 총 18개 항목 가량의 개인정보가 포함돼 있다.
▲노출된 지원자의 개인정보
문제는 구글 검색 창에 주민번호와 지원자의 수험번호를 검색하는 만으로도 모든 지원자의 개인정보가 노출된다는 점이다.
이에 대해 한 보안전문가는 “올바른 robots.txt 설정을 통해 검색엔진에서 중요정보가 노출되지 않도록 해야 하는데 설정이 잘못된 것 같다”며 “robots.txt 파일을 새로 만들거나 기존 파일을 수정해야 한다”고 지적했다.
이러한 노출을 차단하기 위해서는 자동으로 웹사이트를 수집하는 기능인 robots.txt 파일 설정을 ‘수집거부’로 설정해야 한다는 얘기다.
이 뿐만 아니다. 지원자가 현역복무지원서에 기입한 주민번호가 암호화나 마킹 처리가 되지 않은 채 구글 검색을 통해 전부 노출되고 있다.
특히, 해군 현역복무지원서의 경우 예비장교 후보생으로, 이들의 개인정보보호가 더욱 요구되는 상황임에도 수험번호 등 입력만으로 개인정보 검색이 가능하다는 것은 북한의 사이버공격에 악용될 수도 있기 때문에 매우 위험하다는 지적이다.
이에 대해 26일 해군 관계자는 “PDF 파일을 만드는 과정에서 문제가 생긴 것”이라며 “현재 서버에 있는 지원자 데이터는 지난 기수 모집 당시 정보로 모두 삭제 조치했다”고 밝혔다. 이어 그는 “주민번호 암호화 미조치에 대해서는 마킹처리하는 수정 프로그램을 만들어 다음 기수 모집 때는 개인정보가 노출되지 않도록 각별히 주의하겠다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
주민번호와 수험번호로도 검색... 암호화 조치 없이 그대로
[보안뉴스 김경애] 대한민국해군 장교 지원자 정보가 구글 검색을 통해 모두 노출됐다. 특히, 지원자의 수험번호나 주민번호 입력만으로도 지원자의 신체정보와 민감한 개인정보까지 여과 없이 노출된 것으로 드러났다.
▲ 구글 검색을 통해 노출된 해군장교 지원자의 개인정보 목록
이를 본지에 알려온 한 제보자는 지난 25일 “구글검색을 통해 해군 지원자의 개인정보가 노출되고 있다”며 “지원서류에는 시력과 혈액형과 같은 신체정보부터 주민번호 등 개인정보를 전부 볼 수 있다”고 지적했다.
이에 본지가 구글 검색을 통해 확인한 결과 2015년 10월에 모집한 해군 지원서류인 현역복무지원서(예비장교후보생)가 PDF 파일 형태로 노출되고 있었다. 해당 지원서에는 성명, 주민번호, 이메일, 전화번호, 핸드폰 번호, 주소, 병역, 학력, 고등학교·대학교 등 출신학교, 신장, 체중, 시력, 혈액형, 가족사항, 경력, 기술자격증, 지원서에 부착된 사진 등 총 18개 항목 가량의 개인정보가 포함돼 있다.
▲노출된 지원자의 개인정보
문제는 구글 검색 창에 주민번호와 지원자의 수험번호를 검색하는 만으로도 모든 지원자의 개인정보가 노출된다는 점이다.
이에 대해 한 보안전문가는 “올바른 robots.txt 설정을 통해 검색엔진에서 중요정보가 노출되지 않도록 해야 하는데 설정이 잘못된 것 같다”며 “robots.txt 파일을 새로 만들거나 기존 파일을 수정해야 한다”고 지적했다.
이러한 노출을 차단하기 위해서는 자동으로 웹사이트를 수집하는 기능인 robots.txt 파일 설정을 ‘수집거부’로 설정해야 한다는 얘기다.
이 뿐만 아니다. 지원자가 현역복무지원서에 기입한 주민번호가 암호화나 마킹 처리가 되지 않은 채 구글 검색을 통해 전부 노출되고 있다.
특히, 해군 현역복무지원서의 경우 예비장교 후보생으로, 이들의 개인정보보호가 더욱 요구되는 상황임에도 수험번호 등 입력만으로 개인정보 검색이 가능하다는 것은 북한의 사이버공격에 악용될 수도 있기 때문에 매우 위험하다는 지적이다.
이에 대해 26일 해군 관계자는 “PDF 파일을 만드는 과정에서 문제가 생긴 것”이라며 “현재 서버에 있는 지원자 데이터는 지난 기수 모집 당시 정보로 모두 삭제 조치했다”고 밝혔다. 이어 그는 “주민번호 암호화 미조치에 대해서는 마킹처리하는 수정 프로그램을 만들어 다음 기수 모집 때는 개인정보가 노출되지 않도록 각별히 주의하겠다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
