구글 검색 통한 개인정보 노출, 여전히 ‘심각’

주민번호 포함된 개인정보, 구글 검색 통해 여전히 노출
개인정보가 담긴 문서, 검색 엔진이 접근할 수 없도록 조치해야

[보안뉴스 김경애] 구글 검색을 통한 개인정보 노출 문제가 여전히 개선되지 않고 있다는 지적이 일고 있다. 현재 웹상에 노출된 개인정보는 주민번호, 주소, 면허번호는 물론 주고받은 메시지 내용과 송·수신 번호 등을 망라하며, 노출 대상자도 법 위반자와 행정처분 감면대상자, 체납자, 각종 합격자 명단 등 매우 다양한 것으로 드러났다.

▲구글 검색을 통해 노출된 ‘수상레저 안전법 위반자 명단’ 개인정보

이를 본지에 제보한 닉네임 메가톤은 “아직도 구글 검색을 통해 주민등록번호가 포함된 개인정보가 노출되고 있다”며 “개인정보를 철저히 관리해야 한다”고 지적했다.

이에 본지가 19일 구글 검색을 통해 살펴본 결과, 각종 법 위반자의 개인정보가 노출돼 있는 것으로 드러났다. ‘수상레저 안전법 위반자 명단’ 제목의 엑셀파일에는 이름, 주민번호 앞자리와 뒷자리 첫 번째 자리 번호, 면허번호, 면허발급일자, 경고처분기간, 주소 등이 노출된 37명, 면허정지 2개월 대상자 30명, 면허정지 6월 대상자 1명, 총 68명의 개인정보가 포함돼 있다.

이어 ‘수산관계법령 위반 행정처분 감면대상자 현황(2006-2009년)’이란 제목의 엑셀파일에는 정지기간 감면자 2명과 정지기간 면제자 12명, 유예기간 감면자 1명, 처분기록 삭제자 등 총 8,700여명의 이름, 주민번호 앞자리, 특별감면 내용, 어업의 종류, 시도 등 개인정보가 대거 포함된 것으로 드러났다.

또한 ‘-attach_file-bbs-BBS_2-140829_체납자_명단_홈페이지_게시_암호화해제’ 엑셀파일 제목의 체납자 명단에는 채무자명 또는 회사명, 사업자등록번호 또는 주민번호, 내역, 채납액, 최초 집행일, 소재지(주소) 등 29명의 개인정보가 노출돼 있다.

이러한 체납자나 위반자의 개인정보 뿐만이 아니다. 시험 합격자 명단도 구글 검색을 통해 노출되고 있는 것으로 확인됐다. 지난 ‘2010년 제1회 수렵면허시험 합격자 명단(남양주시)’제목의 엑셀파일에는 7명의 합격번호, 성명, 주민번호 앞자리와 성별을 구분하는 뒷자리 1자리수, 면허종별, 주소 등이 포함된 개인정보가 발견됐다.

이어 ‘LG디스플레이(주) 구미사업장 서류전형 합격자 명단(1)-0113(1)’이란 제목의 엑셀파일에는 이름과 주민번호 앞자리가 포함된 36명의 개인정보가 노출된 정황이 포착됐다.

이에 대해 LG디스플레이 관계자는 “해당 파일의 경우 장애인을 고용한 명단을 한국장애인고용공단직업능력개발원에 전달한 것”이라며 “해당 기관에서 제대로 관리하지 못해 노출된 것으로 현재는 해당파일을 삭제 조치했다”고 해명했다.

또한 문자메시지도 구글 검색을 통해 무방비로 노출되고 있다. ‘메시지보관함(RS)’ 엑셀파일에는 201개의 발신번호와 수신번호, 메시지 내용, 날짜, 전송상태 등 개인정보가 그대로 노출된 정황이 포착됐다. 이 외에도 ‘2004년도 RI통신교육 신청자 명단’이란 제목으로 이름과 주민번호 앞자리가 포함된 78명의 개인정보 엑셀파일이 그대로 노출돼 있다.

▲구글 검색을 통해 노출된 개인정보

이처럼 여전히 개인정보가 암호화되지 않은 채 무방비 상태로 장기간 노출되고 있는 상황이다. 특히, 개인정보의 경우 한번 유·노출되면 계정도용, 개인정보 악용, 스미싱 등 각종 범죄에 악용되거나 노출될 수 있어 더욱 주의가 요구된다.

한 개인정보보호 전문가는 “막연하게 검색을 모니터링하고 노출을 통제하는 건 한계가 있다”며 “내부에서 중요정보가 노출되는 요소들을 보다 적극적으로 통제하고 웹 취약점에 대한 내부 관리가 수반되어야 한다”고 당부했다.

MS 강흥수 연구원은 “기술적으로는 서버 파일과 데이타베이스의 권한설정을 잘못하고, 관리가 제대로 되지 못해서 일어나는 것”이라고 지적하며, “개인정보보호에 대한 인식이 강화되고 있는 만큼 구글 검색을 통해 노출되지 않도록 철저한 관리가 필요하다”고 강조했다.

또 다른 보안전문가는 “주민번호 등 개인정보가 포함된 문서를 웹사이트에 그냥 올려서 유출된 것 같다”며 “이는 검색엔진이 정보를 가져 갈 수 있도록 권한 설정을 미흡하게 한 것이 문제”라고 지적했다.

그러면서 그는 “개인정보가 포함된 문서는 암호화해서 보관하거나 개인정보가 담긴 문서를 검색엔진이 접근할 수 없도록 해야 한다”며 “홈페이지 제작할 때 개인정보 노출에 좀더 신경 쓰고 사용자들도 민감한 자료 업로드는 주의해야 한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)