가끔 Google을 이용하여 국내 사이트의 보안점검을 누가 시킨것도 아닌데 해보곤 한다.
예전보다는 많이 나아졌다고 하지만 아직도 심각한 수준이다.
얼마전에 뉴스에 나온 인터넷대출을 했더니 개인정보가 10원씩 팔려나갔다고 하는데,
전 그런 인터넷대출 사이트에서 Google 검색만으로 약 3만여건의 개인정보가 담긴 파일을
어떠한 제재 없이 다운로드 받을 수가 있었다.
사실 그 중에 대부분이 .sql이나 .csv 파일과 같이 DB의 정보를 백업하고 웹서버에 그대로 남겨둔
사례가 가장 많다.
오늘도 문득 생각이 나서 sql 파일만 검색해 보았다. 물론 검색 결과는 이것 말고도 무수히 많았다.
Google 결과 : <개인정보 보호를 위해 결과 스냅샷은 삭제하였습니다>
어렵지 않게 수천개의 개인정보(주민등록번호, 회사명, 전화번호, 휴대전화번호, 직함, 주소 등)을 얻을 수 있다.
실로 놀라운 것은 이는 어떠한 전문지식이나 기술이 필요치 않다는 것이다. 단순히 검색만으로 가능하며 구하는데 수초가 걸리지 않는다는 것이다.
또한 위의 경우처럼 SQL구문이 보인다는 것은 많은 정보를 해커에게 제공하는 셈이다. DB의 종류와 테이블 레이아웃 등의 정보 제공은 곧 충분히 뚫을 수 있는 취약점마저 제공한다는 점이다.
애초에 관리에 자신이 없으면 사이트를 만들지도 말아야 하고 그런 곳에 개인정보를 제공하지도 말아야 겠지만 그 전에 적어도 Google과 같은 검색엔진에서 이러한 개인정보 유출이나 보안취약점이 될 수 있는 검색결과는 제공해 주지 않도록 사전 차단을 해야 하는 것이 옳지 않을까 싶다.
※ 주의
공개되어 있는 개인정보라도 이를 동의없이 검색하여 활용할 경우 법적 제재를 받을 수 있습니다.
예전보다는 많이 나아졌다고 하지만 아직도 심각한 수준이다.
얼마전에 뉴스에 나온 인터넷대출을 했더니 개인정보가 10원씩 팔려나갔다고 하는데,
전 그런 인터넷대출 사이트에서 Google 검색만으로 약 3만여건의 개인정보가 담긴 파일을
어떠한 제재 없이 다운로드 받을 수가 있었다.
사실 그 중에 대부분이 .sql이나 .csv 파일과 같이 DB의 정보를 백업하고 웹서버에 그대로 남겨둔
사례가 가장 많다.
오늘도 문득 생각이 나서 sql 파일만 검색해 보았다. 물론 검색 결과는 이것 말고도 무수히 많았다.
Google 결과 : <개인정보 보호를 위해 결과 스냅샷은 삭제하였습니다>
어렵지 않게 수천개의 개인정보(주민등록번호, 회사명, 전화번호, 휴대전화번호, 직함, 주소 등)을 얻을 수 있다.
실로 놀라운 것은 이는 어떠한 전문지식이나 기술이 필요치 않다는 것이다. 단순히 검색만으로 가능하며 구하는데 수초가 걸리지 않는다는 것이다.
또한 위의 경우처럼 SQL구문이 보인다는 것은 많은 정보를 해커에게 제공하는 셈이다. DB의 종류와 테이블 레이아웃 등의 정보 제공은 곧 충분히 뚫을 수 있는 취약점마저 제공한다는 점이다.
애초에 관리에 자신이 없으면 사이트를 만들지도 말아야 하고 그런 곳에 개인정보를 제공하지도 말아야 겠지만 그 전에 적어도 Google과 같은 검색엔진에서 이러한 개인정보 유출이나 보안취약점이 될 수 있는 검색결과는 제공해 주지 않도록 사전 차단을 해야 하는 것이 옳지 않을까 싶다.
※ 주의
공개되어 있는 개인정보라도 이를 동의없이 검색하여 활용할 경우 법적 제재를 받을 수 있습니다.
'Working > IT Security' 카테고리의 다른 글
| Guideline on Network Security Testing (0) | 2007.03.08 |
|---|---|
| 해킹 시연 동영상 (0) | 2007.02.22 |
| 소스코드 검색엔진 All The Code Alpha 사이트 오픈 (0) | 2007.02.17 |
| 비스타 추가된 보안관련 유틸리티 (0) | 2007.02.16 |
| 개인정보의 이관절차, 그 법제화의 미비점 (0) | 2007.02.15 |