구글 크롤링에 따라 회원공개 웹페이지 주소 공개 추정
특정 직업군의 경우 개인정보 노출시 2차 공격 확률 높아 더욱 위험

[보안뉴스 원병철 기자] 2011년 개인정보보호법 제정과 카드3사, 인터파크 등 해마다 발생하는 굵직한 개인정보 유출사건으로 개인정보에 대한 사람들의 인식이 한층 높아졌다는 평가를 받고 있다. 그럼에도 기관이나 기업을 제외한 일반인들의 개인정보보호 의식은 아직까지 낮은 수준이다. 단적인 예가 바로 인터넷 카페, 모임 블로그 등에서의 회원 주소록 공개 등 개인정보 노출 문제다.

본지는 취재 도중 구글에서 특정 회사 퇴직자들의 친목모임으로 추정되는 다음 카페의 회원 주소록이 고스란히 검색되어 약 470여명의 이름, 전화번호, 주소 등 개인정보가 노출되는 것을 확인했다. 특히, 해당 카페의 회원 주소록은 정상적으로는 비회원은 접근할 수 없는 페이지였지만, 구글 검색 결과를 바탕으로 링크를 타고 들어가면 아무런 문제없이 개인정보를 열람할 수 있어 심각성을 더하고 있다.


▲ 다음 카페에서 유출된 회원 주소록 일부

이와 관련 한 보안전문가는 “이는 해당 카페에서 회원 주소록을 처음 작성할 때 전체 공개로 한 다음, 나중에 회원 공개로 돌렸다면 가능한 일”이라고 설명했다. 즉, 회원 주소록을 처음에 전체 공개로 했을 때, 구글이 이를 검색해 구글 색인에 추가했을 경우, 그 색인 결과가 남아 있어 검색이 가능했을 것이라는 설명이다.

이러한 이유는 구글 봇의 크롤링(Crawling) 기능 때문이다. 크롤링이란 수많은 웹페이지들을 검색해 ‘색인’한 뒤, 구글 색인에 추가하는 과정을 말하며, 쉽게 말해 구글 검색이 빠르고 정확하게 될 수 있도록 미리 ‘색인’을 하는 과정이라 할 수 있다.

문제는 이 크롤링이 PC에서 조회한 웹페이지의 ‘URL’이 열어본 페이지로 저장되어 있을 경우, PC에 저장된 정보(URL)까지 모두 검색해 찾아주기 때문이다. 크롤링 때문이라면, 회원 주소록이 굳이 공개되지 않았더라도 이와 같은 일이 가능해진다.

실제로 한 ‘전자세금계산서’ 관련 업체에서는 고객사의 세금계산서 PDF가 구글에 노출된 것을 확인하고, 노출된 PDF 파일을 삭제해 달라고 요청하는 한편 자사의 세금계산과 관련 폴더를 크롤링하지 말 것을 구글에 요청한 바 있다.

이번 사건은 구글의 강력한 검색엔진 기능에 해당 다음 카페 운영진의 실수가 더해져 470여명의 애꿎은 피해자가 발생한 셈이 됐다. 특히, 해당 주소록의 경우 특정 직업군에 종사했던 사람들의 모임인 만큼 관련 분야 정보를 도대로 클릭을 유도하는 피싱 메일 발송 가능성도 있어 2차 피해 우려가 더욱 크다.

이에 카페 운영진들은 회원 연락처가 기재된 파일을 카페 게시판 등에 업로드하는 것을 자제해야 하며, 부득이하게 공유가 필요한 경우 이메일 등을 통해 전달하는 것이 바람직하다는 지적이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- VR 체험, 1인가구 안전 체험 등 다양한 코너 마련