웹 관리자 페이지 검색엔진 무방비 노출

검색엔진을 통해 웹사이트의 관리자 페이지가 노출되는 현상을 방지하기 위해 한국정보보호진흥원(원장 황중연 이하 KISA)이 대책마련에 나섰다.

KISA는 최근 웹사이트의 관리자 페이지가 검색엔진에 노출되는 문제점을 지적하고, 해당 문제의 해결책을 수록한 ‘홈페이지 개인정보 노출원인과 대응방안’이라는 안내책자의 보급에 나섰다.

KISA는 지난 2~4월, 정보통신부와 공동으로 ‘주민번호 노출에 대한 점검을 실시했는데, 조사 결과 전체 노출 건수의 약 30~40%가 웹사이트의 관리자 페이지를 통해 노출되고 있다는 결론을 내렸다.
특히, 관리자 페이지는 주민번호ㆍ인사기록ㆍ금융계좌ㆍ의료기록 등의 개인정보가 다수 존재한다는 점에서 정보노출에 따른 피해가 클 것으로 우려되는 영역이기도 하다 .

KISA 측에 의하면 관리자 페이지 해킹방식을 통해 개인정보가 노출되는 원인을 크게 4가지로 파악하고 있다. 우선 관리자 페이지를 통해 개인 정보가 노출되는 방법에는 ▲인증오류로 인한 노출 ▲클라이언트 사이드 스크립트 인증으로 인한 노출 ▲디렉터리 리스팅으로 인한 노출 ▲검색배제 표준 미적용으로 인한 노출 등이 존재하는 것으로 밝혀졌다.

KISA 측은 홈페이지 개인정보 노출의 중요한 원인으로 웹사이트 개발자의 보안의식 부재를 가장 큰 원인으로 꼽았고, 홈페이지 개발자가 검색엔진에 대한 고려 없이 브라우저만을 대상으로 홈페이지를 개발하는 관행이 가장 문제인 것으로 지적했다.

현 관행대로 개발된 웹사이트의 경우 웹 서버에서 인증페이지와 관리자 페이지를 동시에 브라우저로 보내게 되는데 브라우저는 인증에 성공한 경우만 관리자 페이지를 볼 수 있도록 지원한다. 그러나 검색 엔진은 인증에 실패해도 같이 전송된 관리자 페이지를 자동으로 수집할 수 있다는 문제점이 존재한다.

또한 홈페이지 개발자가 인증 요청 페이지에서만 인증을 실시해도 일반 이용자는 하위 URL을 모르기 때문에 관리자 페이지로 접근할 수 없다. 그러나 검색엔진은 수많은 URL을 수집해서 링크를 따라 다니는 속성이 있어, 관리자 페이지가 외부의 홈페이지 등에 링크가 걸려 있으면 어렵지 않게 관리자 페이지로 접근 할 수 있다는 문제가 있다.
KISA 측은 이번 책자 보급이 그동안 검색엔진에 대한 고려 없이 홈페이지를 개발하던 수많은 웹사이트 개발자에게 경각심을 줄 수 있을 것으로 판단하고 있으며, 책자 보급에 적극적으로 나서 잘 못된 웹사이트 개발자의 관행을 개선하는데 주력한다는 입장을 밝혔다.



김남규 기자 ngkim@fntimes.com