세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
해커들은 왜 구글 검색에 집착하나?
  |  입력 : 2017-09-14 11:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
디렉토리 리스팅 취약점, 구글 검색 통해 본인인증 등 중요정보 무방비 노출
본인인증 서비스 제공업체, API 접근 제한 미흡...계정도용 등 해킹에 악용 가능성


[보안뉴스 김경애 기자] 구글 검색을 통해 개인 신상정보, 금융정보, 대외비 문서 등 중요정보가 여전히 무방비로 노출되고 있어 이용자들의 주의가 요구된다. 구글 검색을 통한 중요 정보 노출이 어제오늘의 일은 아니지만, 최근 들어 계정도용이 급증하고 있어 더욱 우려되는 상황이다. 더욱 큰 문제는 상당수 기업들이 디렉토리 리스팅 취약점을 갖고 있어 해커에게 중요정보를 노출하고 있다는 것이다.

▲구글에 노출된 index 검색 화면[이미지=구글 검색 통한 캡처화면]


‘Index’는 색인 또는 목록이라는 의미로 해커가 구글 검색을 통해 찾고자 하는 각종 중요정보를 쉽게 찾아볼 수 있어 노출되지 않도록 신경써야 한다. 하지만 개인 신상정보부터 이력서, 본인인증정보, 대외비 중요 파일 등 개인정보가 저장된 웹사이트의 Index 관련 웹페이지가 필터링되지 않고 구글 검색을 통해 그대로 노출되고 있다.

특히, 가상화폐, 핀테크 등 신생 금융 분야가 주목받기 시작하면서 본인인증 서비스 제공업체의 구글 검색 노출 우려가 더욱 커지고 있다. 실제 기자가 구글 검색을 통해 확인한 결과, 다수의 신생 금융분야의 Index 정보가 노출되고 있는 것을 확인할 수 있었다.

이는 디렉토리 리스팅 취약점으로 해당 정보가 구글 검색을 통해 노출되는 것과 같이 외부에 노출될 경우 해커가 계정도용, 개인정보 유출, 대포통장 개설 등 각종 범죄행위에 악용할 수 있다.

이에 대해 악성코드 수집가 엘뤼아르는 “구글 검색만으로 관리자 페이지가 노출돼 각종 개인정보, 대외비 문서 등과 같은 중요정보가 그대로 보여지고 있다”며 “특히, 웹사이트의 웹 호스팅을 맡고 있는 호스팅 업체들의 취약한 서버 관리가 문제”라고 지적했다.

또한, 나루씨큐리티 김혁준 대표는 “구글은 자체적으로 자동 수집한 정보를 인덱스화해 이를 기반으로 검색기능을 제공한다”며 “특히, 본인인증 정보의 경우 일반인 접근이 제한돼야 하는데, 그렇지 않고 누구나 접근이 가능하면 오·남용될 가능성이 커진다”고 우려했다.

이어 김혁준 대표는 “기본적으로 구글은 robot.txt를 준수하기에 이를 적용해야 한다”며 “하지만 상당수 이를 준수하지 않는다”고 말했다.

보안전문가 Auditor Lee는 API 문제를 제기하며 “수많은 기업들이 아직도 API의 접근권한이 미흡한 실정”이라며 “어느 정도 규모를 갖춘 기업의 경우 보안담당자나 보안부서에서 설정을 금방 바꿀 수 있는 반면, 신생업체나 영세업체의 경우 기본적인 보안 설정도 제대로 이뤄지지 못하고 있다”고 지적했다.

또한, 노브레이크 박찬주 수석은 “홈페이지 서버의 모든 디렉토리 또는 홈페이지 디렉토리에서 중요정보를 인덱싱이 가능하도록 설정한 것이 문제”라며 “이 때문에 중요파일 정보가 외부에 노출되는 것이다. 특히 기본적으로 낮은 버전의 웹서버(Web Server)에서 주로 발생한다”고 밝혔다. 따라서 보안담당자는 웹페이지 SW(웹) 개발보안 가이드와 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드(512p)를 참고할 것을 덧붙여 설명했다.

▲index of 검색으로 노출된 중요정보 화면[이미지=제보자]


디렉토리 리스트 취약점, 간단히 해결하는 설정 변경 방법
따라서 홈페이지 관리자는 이러한 디렉토리 리스팅 취약점에 노출되고 있지는 않는지 점검하고, 설정을 변경해야 한다. 점검 방법은 직접적인 점검 방법과 구글을 통한 점검 방법으로 대응할 수 있다.

직접 점검방법에 대해 박찬주 수석은 “URL 경로 중 확인 하고자 하는 디렉토리까지만 주소 창에 입력해 인덱싱 여부를 확인하고, 디렉터리 끝에 %3f.jsp 문자열을 붙여 디렉터리 인덱싱이 되는지 확인하면 된다”고 설명했다.

구글을 통한 점검의 경우 도메인 설정 란에는 해당 사이트 주소를 입력하고, 검색창에는intitle:index.of site:(검색할 도메인)을 입력하여 디렉토리 목록이 저장된 페이지를 검색해야 한다.

특히 해당 취약점은 기본적으로 낮은 버전의 웹서버에서 주로 발생하기 때문에 아파치(Apache) Httpd.conf 파일 내 DocumentRoot 항목의 Options에서 Indexes를 제거해야 한다. Indexes가 해당 디렉터리의 파일 목록을 보여주는 지시자이기 때문에 설정 전인 Options Indexes 에서 Options 로 설정이 변경돼야 한다.

IIS 7.0의 경우 설정> 제어판> 관리도구> “인터넷 서비스 관리자” 선택 후 해당 웹 사이트에서 우클릭 후 등록 정보> [홈 디렉터리] 탭> [디렉터리 검색] 체크를 해제해야 한다.

IIS 7.5/8.0은 IIS(인터넷 정보 서비스) 관리자> [해당 웹 사이트]> [IIS]> [디렉터리 검색]을 선택하고, 우측의 [사용 안 함] 버튼을 눌러 비활성화로 변경해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)