데일리시큐는 25일 ‘국내 의료기관 환자개인정보 및 진료정보 7천건 이상 구글 검색에 무방비 노출’이라는 제하의 기사를 통해 구글 검색만으로도 국내 의료기관에서 허술하게 관리하고 있던 개인정보들이 구글에 얼마나 많이 노출되고 있는지 전문가와 조사해 기사화했다. 조사 결과 대형 의료기관과 외주업체에서 허술하게 관리된 환자정보와 진료정보들이 상당수 엑셀파일 형태로 발견된 것이다. (관련기사: www.dailysecu.com/news_view.php?article_id=11005)
 
이번에는 구글에 공공기관과 일반 기업들 개인정보들이 얼마나 있는지 인터넷보안전문가 허장녕 씨와 함께 조사해 봤다. 역시 많은 수는 아니지만 다양한 개인정보와 공문 형태의 파일들 속에 개인정보들이 다수 확인됐다. 행정자치부와 한국인터넷진흥원 등 관계 기관의 신속한 조치가 보안 필요하다. 단순히 파일 삭제에 그칠 것이 아니라 구글검색에 노출되지 않도록 웹사이트 보안에 대한 철저한 교육이 필요하다.
 
◇공공기관 공문속 개인정보 구글에 그대로 노출중
우선 이번에 조사를 통해 구글에 개인정보가 노출되는 공공기관은 경북 안동시에서 관리하는 ‘2015년 4월 공시송달대상자’ 명단이 엑셀파일 형태로 노출됐다. 총 노출건수는 154명으로 주민등록번호, 이름, 주소, 체납액, 건물주소, 영업종목, 허가번호 등이 포함돼 있다. 악용시 다양한 형태의 범죄에 이용될 수 있는 정보들이다.

 
또 기획재정부에서 관리하는 저축의 날 행사에서 수상할 수상자 명단 39명의 주소, 직업, 이름, 주민등록번호 이외 상세한 자기 소개 등이 PDF 형태로 노출되고 있었다. 수상자의 상세한 개인 신상까지 알 수 있어 범죄의 표적이 될 위험이 크다.   
 
강원도청에서 관리하는 신기술 특허 관련 문서에 포함된 개인정보 7건도 구글에 PDF형태로 노출되고 있었다. 신기술 개발자 이름과 주민등록번호, 상세주소 등이 포함돼 있었다.
 
이외에도 환경부 산하 한국환경공단에서 관리하는 봉사확인서에 10명의 개인정보가 노출되고 있었고, 전북 임실군에서 관리하는 건설업등록목록 엑셀파일 내에 11명의 이름, 주소, 주민등록번호, 전화번호 등이 노출되고 있었다.
 
◇기업들이 관리하는 개인정보 1천500여건 여전히 구글에 노출중
한편 일반 기업에서 관리해야 하는 개인정보들도 구글에 상당수 노출되고 있었다. 우선 개인재무컨설팅 전문기업 KMI에셋 직원 파일로 추정되는 개인정보가 구글에 무방비 노출되고 있는 상태다. 총 인원수는 1천340명이 노출되고 있다. 노출 항목은 이름, 사번, 소속, 직급, 직책, 주민등록번호, 휴대폰번호, 재직여부, 위촉일 등 상세한 개인정보가 노출되고 있는 것으로 확인됐다.

 
또한 롯데 플러스 알파 상해보험 피보험자 명단도 구글에 노출되고 있었다. 총 220명의 명단이 포함된 엑셀파일이 구글에 방치되고 있으며 노출 항목은 이름, 주민등록번호, 학년, 성별, 휴대폰번호, 학교명 등이다. 주로 보험을 가입한 학생들 개인정보들이다. 얼마든지 2차 범죄에 악용될 소지가 있는 정보들이다.
 
이외에도 작지만 여러건의 개인정보들이 구글에 엑셀이나 워드 혹은 PDF 형태로 그대로 노출되고 있다는 것을 확인할 수 있었다. 특히 공공기관들은 개인정보보호에 더욱 앞장서야 할 기관들임에도 불구하고 여전히 구글 검색을 통해 노출되는 개인정보 조차도 차단하지 못하고 있는 실정이다. 행정자치부와 한국인터넷진흥원의 신속한 삭제 조치와 웹사이트 보안교육이 필요한 상황이다. 이번 조사 결과는 빙산의 일각일 수 있다. 다양한 검색 방법을 개발해 구글에 노출되는 개인정보를 찾아내 삭제조치하고 웹사이트 관리자들에 대한 보안교육도 더욱 철저히 이루어져야 할 것이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com