개인정보보호에 대한 사회적 요구가 높아지고 있는 가운데 개인 의료정보는 민감한 정보들이 포함돼 있어 더욱 신경이 쓰이는 부분이다. 의료기관들의 적극적인 노력이 필요한 시점이다. 이런 상황에 대구한의대학교 부속 포항한방병원 사이트에 정보 디렉토리 리스닝 관련 취약점이 발견돼 병원 관계자는 물론 병원 회원 개인정보까지 노출될 수 있는 위험성이 존재해 신속한 조치가 필요한 상황이다.
 
해당 취약점을 우연히 발견하고 신속한 조치를 요구하며 데일리시큐에 제보한 노은호(TeamPure 소속)씨는 “포항한방병원 사이트에 정보 디렉토리 리스닝 관련 취약점이 있다는 것을 알게 됐다. 병원 사이트의 개인정보 유출로 이어질 수 있는 상황”이라며 “맴버 리스닝 취약점으로 숫자만 바꾸면 그 번호에 정보가 있다면 해당 개인정보가 노출될 수 있다. 병원 측의 신속한 조치가 필요하다”고 경고했다.
 
개인정보가 노출된다는 제보를 받고 기자가 직접 테스트 해본 결과, 사이트에 가입후 개인정보를 수정하는 과정에서(구체적인 노출 방법은 공개할 수 없음) 병원 관계자 뿐만 아니라 해당 병원 사이트에 가입된 회원들의 개인정보를 볼 수 있는 가능성이 존재한다는 것을 확인했다.
 
노출되는 개인정보는 아이디, 패스워드, 이름, 주민등록번호, 주소, 전화번호, 이메일 등 다수의 개인정보가 노출될 수 있는 위험에 처해 있다.
 
특히 노출되는 타인의 개인정보를 이용해 포털사이트 등 다른 사이트에 불법 접속이 가능해 2차 피해로 이어질 수 있어 병원 측의 신속한 조치가 필요한 상황이다.    
 
해당 취약점의 원인에 대해 제보자는 “사용자 인증을 거치지 않아 발생하는 취약점이다. 사용자 본인이 아니더라도 다른 사람의 정보를 열람할 수 있어 사용자의 인증을 통해 본인만 볼 수 있도록 조치해야 한다. 쿠키나 세션으로 인증하는 것으로 해결이 가능할 것”이라고 조언했다.

데일리시큐는 해당 취약점을 KISA에 전달하고 병원 측의 신속한 조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com