주민번호의 전체 노출 건수의 약 30~40%가 관리자 페이지에서 노출되고 있는 것으로 나타났다. 특히 관리자 페이지는 주민번호는 물론 인사기록, 금융계좌, 의료기록 등 민감한 개인정보 들이 많이 있다는 점에서 피해가 큰 것으로 조사돼, 고객정보 관리자들의 각별한 주의가 요청된다.

 

이 같은 결과는 한국정보보호진흥원(원장 황중연)이 정보통신부와 함께 ‘07년 2월과 4월 실시한 주민번호 노출 점검 결과에 밝혀졌다.

 

홈페이지 개인정보 노출의 중요한 원인은 홈페이지 개발자가 검색엔진에 대한 고려 없이 브라우저만을 대상으로 홈페이지를 개발하는 관행 때문인 것으로 밝혀졌다.

 

이는 개발의 편의를 위해 웹 서버에서 인증페이지와 관리자 페이지를 동시에 브라우저로 보낼 경우 브라우저는 인증에 성공한 경우만 관리자 페이지를 볼 수 있으나, 검색 엔진은 인증에 실패해도 같이 전송된 관리자 페이지를 자동으로 수집하기 때문이다.

 

또한 홈페이지 개발자가 관리자 페이지의 시작점(인증 요청 페이지)에만 인증을 실시해도 일반 이용자는 하위 URL을 모르는 경우 관리자 페이지에 접근할 수 없으나, 검색엔진은 수 많은 URL을 수집해서 링크를 따라 다니는 속성 때문에 관리자 페이지가 외부의 홈페이지 등에 링크가 걸려 있으면 언젠가는 관리자 페이지로 접근할 수 있다.

 

한국정보보호진흥원은 이 같은 보안 허점을 방지하기 위해, 구글 등 검색기술의 발전에 따라 인증이 설정되어 있는 관리자 페이지가 검색엔진에 노출 되는 것을 방지할 수 있는 안내 책자 ‘홈페이지 개인정보 노출원인과 대응방안’ 를 제작하여 배포했다.

 

이 책자는 웹사이트 보안실패로 인한 개인 정보 노출 원인을 ▲인증오류로 인한 노출 ▲클라이언트 사이드 스크립트 인증으로 인한 노출 ▲디렉터리 리스팅으로 인한 노출 ▲검색배제 표준 미적용으로 인한 노출 등 4가지로 분석하여 그 원인과 대응방법을 소개하고 있다.

 

진흥원은 이번 책자 보급으로 그 동안 검색엔진에 대한 고려 없이 홈페이지를 개발하던 관행을 바꾸는 데에 크게 일조할 것으로 기대했다.

 

이 책자는 홈페이지 제작 및 웹호스팅업체, 홈페이지 교육기관, 홈페이지 보안실패로 인한 개인정보 노출 업체 등을 대상으로 무료로 배포된다.

 

또한 누구든지 정보통신부(www.mic.go.kr) 및 한국정보보호진흥원 홈페이지(www.kisa.or.kr)를 통해 파일로도 내려 받아 볼 수 있다.

 

 

홍순재
저작권자 © 데일리그리드 무단전재 및 재배포 금지