구글 검색에 의한 정보노출이 계속되고 있어 사이트 관리자들의 각별한 주의가 요구된다. 최근 대한임상병리사 협회 디렉터리리스팅 취약점이 발견됐다. 암호화 되지 않은 개인정보들이 그대로 노출되는 상황이라 신속한 보안조치가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 상세 자료를 보내온 익명의 제보자는 “구글 검색만으로 특정 디렉터리에 저장된 자료를 볼 수 있으며, 그 자료가 개인정보이라 위험한 상황”이라며 “모든 사용자가 별다른 권한 획득 없이 볼 수 있으며, 그 디렉터리안의 모든 파일에 대한 접근이 가능한 상황이라 보안조치가 필요해 제보하게 됐다”고 밝혔다.

 
그는 또 “개인정보들을 파일로 저장하고 있으며 어떠한 암호화 조치도 하고 있지 않아 개인정보 유출이 될 수 있는 상황”이라고 설명했다.
 
취약점 원인에 대해 그는 “첫째로, 개인정보를 파일로 저장하고 있다. 둘째로, robot.txt 등을 따로 사용하지 않아 구글의 검색 봇이 데이터를 수집할 수 있도록 설정한 것이 원인”이라고 밝히고 취약점 패치 방안에 대해 “우선 robot.txt를 통한 정책 설정이 시급하다. 또한 둘째, 개인정보보호법에 맞게 개인정보를 저장하는 방식을 바꾸어야 한다”고 권고했다.
 
현재 상황이라면 개인정보가 유출될 수 있는 상황이다. 주소 및 이름, 휴대폰번호 등과 함께 간호사 자격증의 ID Number까지 저장하고 있지만 암호화되어 저장하지 않아 매우 위험할 수 있다. 실제로 Clear Text로 볼 수 있는 상황이다.
 
데일리시큐는 해당 취약점을 KISA에 통보해 신속한 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com