실제로 2일 구글 검색창에 간단한 특정단어를 입력한 결과 순식간에 국제학생증을 발행하는 모 사이트에 접속돼 여기에 가입한 회원의 개인정보 수백여건이 검색됐다.
국제학생증은 금융거래가 가능한 체크카드 기능까지 갖고 있다.
검색된 개인정보는 이름, 주민번호, 주소, 전화번호를 비롯해 회원 아이디와 비빌번호 등.
노출된 개인정보 만으로도 신분증 발급은 물론 금융거래도 가능해 각종 범죄로 이어질 수 있다는 것이 전문가들의 지적이다.
기자가 검색된 정보를 이용해 해당 사이트 로그인을 시도한 결과 쉽게 접속이 가능했으며 비밀번호 변경을 비롯해 카드 재발급 신청 등 모든 서비스 이용이 가능한 것으로 확인됐다.
이 사이트는 만 12세 이상의 학생(교육부가 지정한 정규 교육과정 재학)을 대상으로 국제학생증을 발급하고 있으며 많은 대학생들이 해외 여행시 각종 할인 서비스를 받기 위해 이용하고 있다.
이와 관련해 국내의 한 웹솔루션 개발업체는 지난해 외부검색을 통해 사내 인트라넷 정보의 외부접근이 가능하다는 것을 발견했다.
이 회사 관계자는 “포털 사이트 검색에 회사 내부망이 열리는 것을 확인하고 놀랐었다”며 “이 같은 일이 업계에서 종종 발생하고 있는 것으로 알고 있다”고 말했다.
그는 “검색로봇이 하루가 다르게 발전하고 있지만 사이트 관리자들이 보안기술이나 의식이 부족해 이같은 현상이 발생하고 있다”며 “이렇다 보니 특정 해킹 툴을 이용하지 않더라도 보안이 허술한 사이트에 대해서는 인터넷 검색으로 뚫리는 엉뚱한 사고가 발생하고 있다”고 지적했다.
구글 검색에 대해서 그는“검색로봇과 관련된 기술적인 부분이긴 하지만 해당 사이트 관리자가 검색엔진 기능 향상에 대한 보안대책을 고려하지 못해 발생 한 것 같다”고 설명했다.
구글측은 사용 약관을 통에서 ‘(검색결과는)사람의 손을 거치지 않고 미리 준비된 (검색프로그램의)알고리즘에 의해서 자동으로 분류되고 색인되고 구조화된다. 각각의 경우마다 인덱스에서 해당 링크를 제거함을 고려할 수 있으나 사이트의 관리자가 이에대한 제거 요청이 없다면 인덱스를 생성하는 자동화장치는 짧은 시간안에 사이트를 찾아서 이를 인덱스화 한다’고 설명했다.
즉 자동화된 검색프로그램에 의해서 검색이 진행되고 노출된 정보는 사이트 관리자의 요청이 없다면 제거하지 않는다는 설명이다.
구민회 동아닷컴 기자 danny@donga.com
댓글 0