신학기철 각종 자격증시험 응시 봇물, 개인정보 관리에 만전 기해야

[보안뉴스 김경애] 최근 신학기철을 맞이해 각종 자격증을 취득하려는 사람들의 발걸음이 분주해지고 있다. 이러한 가운데 한자시험 응시자의 개인정보가 구글 검색을 통해 노출된 것으로 드러났다.


▲구글 검색을 통해 노출된 4570명의 개인정보 엑셀파일

이를 본지에 제보한 메가톤은 “지난 2월 27일 XXXX한문능력개발원에서 한자시험에 응시한 응시자 4570명 개인정보가 담긴 엑셀파일이 구글 검색을 통해 노출됐다”고 밝혔다.

노출된 엑셀파일에는 ‘43회 정기검정 합격자 현황’이란 제목으로 수험번호, 급수, 유형, 점수, 합격여부, 성명, 주민번호 13자리, 학교, 학년, 반, 접수처, 회원 구분으로 정리되어 있다.

이 뿐만 아니다. XX광역시교육청 사이트에는 해당 자격증과 관련해 ‘XX초등학교 한자능력자격검정 합격자 발표’란 제목으로 글과 사진이 올라왔는데, 사진 속에 찍힌 3명의 어린이가 들고 있는 합격증에는 13자리 주민번호가 모두 노출돼 있었다. 사진을 올린 사람도 해당 사이트 관리자도 사진에 노출된 주민번호를 가리거나 마킹 처리를 하지 않은 것이다.

노출된 주민번호와 관련해 개발원 관계자는 “43회 정기검정 합격자 현황 엑셀파일과 사진속 합격증에 표기된 주민번호는 실제 주민번호가 아니다”라며 “전산처리할 때 부여하는 일련번호로 학부모들의 혼동을 막기 위해 임의로 주민번호라고 표기한 것”이라고 해명했다. 하지만 노출된 다른 개인정보에 대해서는 즉각 조치하겠다고 밝혔다.


▲개인정보가 포함된 구글검색 리스트 화면

이처럼 구글 검색을 통한 개인정보 노출 문제는 그동안 지속적으로 제기되어 왔다. 하지만 개인정보 암호화 및 웹사이트 관리 미흡, 개인정보보호 인식 부족 등으로 계속 발생하고 있으며, 좀처럼 개선되지 않고 있다. 게다가 개인정보의 경우 한번 유·노출되면 계정도용, 스미싱 등 각종 범죄에 악용될 수 있어 더욱 위험하다.

특히, 자격증을 관리하는 기관의 경우 개인정보를 많이 다루고 있어 보다 높은 개인정보보호 의식이 요구되는 분야다. 또한, 신학기와 취업시즌을 맞이한 학교, 학원, 유학원 등도 개인정보 관리에 더욱 주의해야 한다. 더욱이 해당 사이트를 노린 정보탈취용 악성링크도 기승을 부리고 있다.

무엇보다 개정 정통망법이 오는 9월부터 본격 시행됨에 따라 개인정보보호 관련 법제와 제도도 한층 강화되는 상황이다.

이번 개정안에는 △기업의 임원에 대한 책임 강화(법 제27조제4항 및 제69조의2제2항 신설) △징벌적 손해배상제 도입(법 제32조제2항·제3항) △개인정보 관련 범죄에 대한 몰수·추징 도입(법 제75조의2 신설) △노출된 개인정보 삭제·차단 조치 강화(법 제32조의3 신설) 등 기업의 개인정보보호 수준 제고 및 책임성을 강화하기 위한 다양한 방안을 담고 있다.

특히, 기업 임원의 책임 강화와 관련해서 개인정보보호책임자는 개인정보보호 법령 위반 사실을 알게되면 즉시 개선조치하고, 필요시 사업주 등에게 보고해야 한다. 또한, 방송통신위원회가 정보통신망법을 위반한 정보통신서비스 제공자의 최고경영자와 임원에 대해 징계를 권고할 수 있다.

무엇보다 구글 검색 노출의 경우 기본적인 보안 설정 등을 통해 조금만 신경쓰고 주의를 기울이면 충분히 예방할 수 있기 때문에 웹사이트에 대한 관리와 관심이 중요하다는 게 보안전문가들의 지적이다. 구글 사이트의 URL 접근 차단 방법은 해당 구글 사이트 (https://support.google.com/webmasters/topic/4598466?hl=ko&ref_topic=4617736)를 참고하면 된다.

이와 관련 노브레이크 박찬주 수석은 “구글 검색을 통해 노출된 정보의 경우 대부분 보안담당자나 개인정보처리자들이 인지하지 못하거나 실수하는 부분”이라며 “구글 검색 차단 설정과 노출된 정보를 구글에 삭제 요청한 다음, 사이트에 업로드 되는 기존 파일의 URL 경로를 변경해주고 인증 부분을 반영해 접근통제를 하는 것이 바람직하다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>