`구글링` 해킹이 개인정보를 빼내가는 손쉬운 수법으로 자리매김하고 있다. 보안에 관심이 높은 대기업은 이에 대한 방어책을 시행하고 있지만, 학교 등은 여전히 취약하다는 게 전문가들의 지적이다.
구글링은 구글(Google) 검색을 통해 회원정보 페이지가 노출되는 사이트를 찾아낸 뒤 해당 사이트로부터 정보를 그대로 내려받는 수법을 말하며, 이 정보를 이용해 악의적 행위를 하면 해킹으로 간주된다.
31일 업계에 따르면 지난해 7월부터 1년 동안 안전행정부에 접수된 개인정보 유출 사고는 총 8건으로 이 가운데 5건이 구글링 해킹을 통해 이뤄졌다. 올 들어선 아직 이 같은 수법의 사고가 신고되지 않았지만, 구글링 관제 서비스가 등장할 정도로 여전히 위험도가 높은 것으로 알려졌다.
이들 5건의 사건에서 유출된 개인정보는 주민등록번호와 전화번호 등 다양하다. 특히 개인이 구직을 위해 제출한 이력서 내용, 급여정보, 결혼여부, 혈액형 등 민감한 정보도 들어있다.
구글링 해킹은 단순한 개인정보유출 뿐 아니라 회사 전산시스템 관리자계정(admin) 정보를 찾아낸 후 악성코드를 심는 공격에 이용되기도 한다. 특정 옵션으로 검색을 하면 해당사이트 내에 존재하는 중요 개인정보까지도 검색할 수 있기 때문이다.
구글링을 통해 개인정보를 빼내가는 행위가 늘고 있는 것은 2003년 이후 구글 검색엔진이 지능화 되면서 시스템의 주요 정보 및 민감한 데이터 접근 경로까지 검색이 가능해 졌기 때문이다. 또 기업들이 마케팅을 위해 홈페이지를 자주 변경하는 과정에서 회원들의 개인정보가 고스란히 남아 있는 경우도 발생한다.
구글링 해킹을 사전에 방지시켜 주는 보안 관제서비스도 등장, 인기를 끌고 있다. 인포섹은 지난 4월부터 SK그룹 전 관계사의 모든 URL에 대해 매월 정기 검색을 통해서 구글링 리스크 서비스를 제공 중이다. 또 인포섹 원격관제 서비스를 받고 있는 3300개가 넘는 고객사를 대상으로 한 새로운 비즈니스 모델을 만들어가고 있다.
전문가들은 지능형지속위협(APT) 또는 악성코드 유포를 통한 관리자계정 탈취처럼 전문지식이 없어도 할 수 있어 주의가 요구된다고 강조했다.
박지영 인포섹 MSS/전략관제사업본부 부장은 “학교(***.ac.kr)는 급여정보 개인정보 등 구글링에서 가장 많은 취약점을 드러내고 있다”며 “검색이 안 되도록 조치를 취하는 것도 하나의 방법”이라고 설명했다.
업계에서는 검색을 막는 방법으로 구글 등 검색서비스 제공업체에 검색이 안 되도록 요청하거나, 웹 서버 루트에 로봇(robots.txt)라는 파일을 추가하는 방법을 제시했다.
구글링 해킹을 이용한 개인정보유출 사건 현황
김원석기자 stone201@etnews.com
