구글 색인기능으로 로그인된 관리자 페이지 무방비 노출
정부산하기관 및 지자체 GIS 시스템 구축기업 등에서 공무원 개인정보 열람 가능
검색엔진 배제 표준이나 관리자 페이지 세션처리 등으로 검색 안 되도록 해야
[보안뉴스 원병철 기자] 지난 3월 3일 본지는 구글 검색에 의한 개인정보 노출의 심각성에 대해 문제를 제기한 바 있다. 너무나 열심히 일하는(?) 구글 봇 때문에 다음의 한 카페에 올라온 회원 주소록이 별도의 로그인 없이도 그대로 노출된 사건이었다. 해당 기사가 나간 후 구글의 검색기능으로 꽤나 많은 홈페이지들의 관리자 페이지에 접속할 수 있으며, 관리자 권한으로 회원 등의 개인정보를 그대로 검색할 수 있다는 제보가 들어왔다.
보안전문업체 이지시큐의 모의해킹 담당인 김상현 컨설턴트의 제보에 따르면 구글에서 ‘○○ 관리자 페이지’라고 검색하면 실제 관리자 페이지에 접속할 수 있으며, 심지어 몇몇 페이지에서는 로그인이 되어 있거나 로그인 정보가 남아 있어 관리자 권한을 획득할 수 있다. 더구나 관리자 권한을 획득할 수 있는 홈페이지에는 정부산하기관은 물론 지자체 GIS(지리정보 시스템) 구축기업 등과 관련해 공무원 개인정보들이 대거 포함되어 있어 사태의 심각성을 고스란히 전해주고 있다.
.jpg)
.jpg)
▲ 약 5만 건의 개인정보를 확인할 수 있는 정부산하기관 홈페이지
본지가 실제 확인해본 결과, 특정 정부산하기관의 관리자 페이지에서는 어린이집을 포함한 4만 9,000여 곳의 담당자 개인정보를 고스란히 볼 수 있었으며, 지자체 GIS 구축기업 1곳에서는 약 60여명의 공무원 개인정보를 확인할 수 있었다.
문제는 이러한 개인정보 노출이 해킹 등 고급 기술이 아닌 단순한 ‘검색’만으로 이뤄졌다는 사실이다. 즉, 검색만 할 수 있다면 누구나 관리자 권한을 획득할 수 있고, 회원들의 개인정보를 유출시킬 수 있다는 얘기다. 또한, 관리자 권한을 바탕으로 XSS 등의 악성 스크립트 삽입, 드라이브 바이 다운로드(DBD) 등을 이용한 악성코드 유포 등 추가적인 공격으로 피해가 커질 가능성이 높다.
.jpg)
▲ 지자체 공무원 개인정보가 대거 노출된 GIS 업체 관리자 페이지
해당 이슈를 제보한 김상현 컨설턴트는 이러한 문제를 해결하기 위해서는 검색엔진 배제 표준이나 메타 태그를 적용해야 한다고 강조했다. 검색엔진 배제 표준을 적용하려면 다음과 같은 내용으로 된 robots.txt 파일을 웹서버의 루트 디렉터리에 저장해야 한다는 설명이다.
robots.txt 파일에 들어갈 내용
User-Agent: *
Disallow:/
두 번째로 관리자 페이지는 특정장소, 특정 단말기에서만 접속할 수 있도록 VPN이나 방화벽을 이용한 IP ACL 등이 적용될 필요가 있다. 만약 업무의 특성상 적용이 불가능하다면, /admin/이나 /manager/ 등 쉽게 유추가 가능한 경로를 사용해서는 안 되며, 관리자 페이지마다 모두 세션처리를 해 관리자 계정으로 로그인하지 않을 경우 해당 페이지에 접근이 불가능하도록 해야 한다.
[원병철 기자(boanone@boannews.com)]
정부산하기관 및 지자체 GIS 시스템 구축기업 등에서 공무원 개인정보 열람 가능
검색엔진 배제 표준이나 관리자 페이지 세션처리 등으로 검색 안 되도록 해야
[보안뉴스 원병철 기자] 지난 3월 3일 본지는 구글 검색에 의한 개인정보 노출의 심각성에 대해 문제를 제기한 바 있다. 너무나 열심히 일하는(?) 구글 봇 때문에 다음의 한 카페에 올라온 회원 주소록이 별도의 로그인 없이도 그대로 노출된 사건이었다. 해당 기사가 나간 후 구글의 검색기능으로 꽤나 많은 홈페이지들의 관리자 페이지에 접속할 수 있으며, 관리자 권한으로 회원 등의 개인정보를 그대로 검색할 수 있다는 제보가 들어왔다.
보안전문업체 이지시큐의 모의해킹 담당인 김상현 컨설턴트의 제보에 따르면 구글에서 ‘○○ 관리자 페이지’라고 검색하면 실제 관리자 페이지에 접속할 수 있으며, 심지어 몇몇 페이지에서는 로그인이 되어 있거나 로그인 정보가 남아 있어 관리자 권한을 획득할 수 있다. 더구나 관리자 권한을 획득할 수 있는 홈페이지에는 정부산하기관은 물론 지자체 GIS(지리정보 시스템) 구축기업 등과 관련해 공무원 개인정보들이 대거 포함되어 있어 사태의 심각성을 고스란히 전해주고 있다.
▲ 약 5만 건의 개인정보를 확인할 수 있는 정부산하기관 홈페이지
본지가 실제 확인해본 결과, 특정 정부산하기관의 관리자 페이지에서는 어린이집을 포함한 4만 9,000여 곳의 담당자 개인정보를 고스란히 볼 수 있었으며, 지자체 GIS 구축기업 1곳에서는 약 60여명의 공무원 개인정보를 확인할 수 있었다.
문제는 이러한 개인정보 노출이 해킹 등 고급 기술이 아닌 단순한 ‘검색’만으로 이뤄졌다는 사실이다. 즉, 검색만 할 수 있다면 누구나 관리자 권한을 획득할 수 있고, 회원들의 개인정보를 유출시킬 수 있다는 얘기다. 또한, 관리자 권한을 바탕으로 XSS 등의 악성 스크립트 삽입, 드라이브 바이 다운로드(DBD) 등을 이용한 악성코드 유포 등 추가적인 공격으로 피해가 커질 가능성이 높다.
▲ 지자체 공무원 개인정보가 대거 노출된 GIS 업체 관리자 페이지
해당 이슈를 제보한 김상현 컨설턴트는 이러한 문제를 해결하기 위해서는 검색엔진 배제 표준이나 메타 태그를 적용해야 한다고 강조했다. 검색엔진 배제 표준을 적용하려면 다음과 같은 내용으로 된 robots.txt 파일을 웹서버의 루트 디렉터리에 저장해야 한다는 설명이다.
robots.txt 파일에 들어갈 내용
User-Agent: *
Disallow:/
두 번째로 관리자 페이지는 특정장소, 특정 단말기에서만 접속할 수 있도록 VPN이나 방화벽을 이용한 IP ACL 등이 적용될 필요가 있다. 만약 업무의 특성상 적용이 불가능하다면, /admin/이나 /manager/ 등 쉽게 유추가 가능한 경로를 사용해서는 안 되며, 관리자 페이지마다 모두 세션처리를 해 관리자 계정으로 로그인하지 않을 경우 해당 페이지에 접근이 불가능하도록 해야 한다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
