국내 모 대형 통신사의 비즈니스 프로세스 관리(BPM, Business Process Management)서버 정보가 구글 검색만으로도 노출된다는 제보가 들어왔다. 직접 확인 해 본 결과 해당 기업의 BPM서버 정보가 노출되는 것이 확인됐다.  
 
BPM 서버는 기업에서 신속한 대응력과 운영성과를 향상 시키기 위한 목적으로 비즈니스의 프로세스 환경을 통제하는 관리 서버를 말한다.

 
이번 구글 검색 노출 문제에 대해 제보를 해 온 MDsoft 관계자는 “BPM 서버는 회사내에서 업무를 처리할 때 자동화, 가시화를 하기 위한 회사 시스템이다. 회사 내에서 이러한 서버비중을 크게 두고 모든 업무를 진행하면 해킹사고 발생 시 업무에 큰 피해를 줄 수 있다”며 “또한 내부 문서 등의 유출이 발생할 수도 있어 주의해야 한다. 특히 BPM 서버가 다른 내부 시스템과 연결 고리가 있을 경우 심각성은 더욱 높아질 것”이라고 우려했다.
 
그는 또 “현재 구글검색 옵션(intext:~, inurl:~ 등)을 사용해 노출되는 수많은 홈페이지의 취약점이 발견되고 있다. 이러한 문제에 대해서는 대다수의 기업들이 관심을 가지고 대비책을 마련해야 한다”며 “기업에서는 서버에 대한 검색엔진 노출을 차단하고 실시간 모니터링을 통해 외부로부터 노출 될 수 있는 취약점을 찾아 제거하는 것이 중요하다”고 강조했다.
 
대응방법에 대해 그는 “해당 통신사는 디렉토리 권한을 수정하고 robot.txt를 이용해 구글 검색을 막아놓아야 한다”고 조언했다.
 
데일리시큐는 이번 문제점에 대해 KISA에 전달해 조치가 취해질 수 있도록 할 예정이다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com