지난 8월말 국내 모 대학병원의 의료정보가 유출되는 사건이 발생했다. 의료정보는 개인정보 중 가장 민감한 정보들로 유출되면 심각한 프라이버시 침해로 이어질 수 있어 병원들의 각별한 주의가 필요하다.
 
한편 서울아산병원 홈페이지에 디렉터리 리스팅 취약점이 존재하는 것이 발견됐다. 간단한 구글 검색만으로도 해당 병원의 디렉터리 리스팅이 되는 상황이라 조치가 필요하다.

 
이번 취약점을 발견하고 조치를 요청하며 데일리시큐에 제보한 한국디지털미디어고등학교 해킹방어과 서승완(청소년 해킹.보안팀 Team Pure 소속)군은 “구글 검색만으로도 디렉터리 리스팅된 서울아산병원 홈페이지에서 다양한 정보가 노출되고 있다”며 “신속한 조치가 필요해 보여 제보하게 됐다”고 밝혔다. 
 
제보를 받고 기자가 확인해 본 결과, 구글 검색만으로도 서울아산병원 내부의 다양한 문서들을 찾을 수 있어 문제가 있어 보였다. 디렉터리 리스팅 취약점은 악의적 해커에게 공격의 빌미를 제공해 줄 수 있기 때문에 주의해야 한다.

 
이 병원의 디렉터리 리스팅 취약점 원인에 대해 서군은 “서버의 디렉터리 및 파일 목록이 노출되면서 자료의 열람 및 다운로드가 가능하게 되는 취약점으로 웹 서버의 설정 미숙으로 인해 발생한 것으로 보인다”며 “서울아산병원 홈페이지의 경우 amc.seoul.kr에서는 디렉터리가 리스팅 되지는 않지만 XXXX.amc.seoul.kr(일부 X처리)이라는 불필요한 서브도메인으로 인해 서버 내부의 디렉터리 리스팅이 되었다. 이렇게 노출된 경로를 통해 서버의 중요한 자료 및 파일 등이 유출될 수 있어 주의 해야 한다”고 경고했다.  
 
한편 취약점 대응방안에 대해 그는 “우선 사용하는 서버에 따라 다른 디렉터리 리스팅에 방어해야 한다”며 “불필요한 서브도메인의 사용을 최소화하는 것도 방법”이라고 설명했다.
 
데일리시큐는 해당 취약성을 KISA에 전달하고 조치가 이루어질 수 있도록 할 예정이다. 국내 병원들은 보다 철저한 정보보호 체계를 구축하고 지금보다 더 강화된 보안수준을 유지해야 할 것으로 보인다. 특히 구글 검색에 의한 정보유출 문제도 신경을 써야 하는 상황이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com