개인정보가 줄줄 새고 있는 국가 공공기관 사이트

구글 검색을 하다보면 막강한 검색능력에 감탄을 할때가 가끔 있습니다.

구글은 타검색엔진이 가지지 못한 방대한 저장공간과 수시로 다니면서 페이지가 갱신되었는지 생성되었는지 확인하는 강력한 로봇이 있기 때문이죠. 

로그분석툴인 awstats를 확인해보면 구글봇이 가장 많이 드나드는 것을 알 수 있습니다.

그런데 이런 강력한 구글봇으로 인해 많은 개인정보가 유출되고 있다는 것은 

몇년전 부터 알려진 사실입니다.

몇년전에는 웹사이트에 저장되어 있는 주민등록번호나 카드번호, 비밀번호등이 구글검색을 잘하면 바로 나왔습니다.

그러한 피해사례도 많이 있었고요. 하지만 계속 정보보호를 담당하는 국가기관이나 공공기관이 모니터링을 하면서

그런 개인정보들이 검색되는 것이 많이 없어졌습니다.

많이 그렇게 생각하는 줄 알았는데...

아직도 모니터링이 안되어 개인정보가 줄줄 새는 사이트들이 많이 검색되어 나옵니다.

특히 개인정보를 취급하는 국가 공공기관, 지자체 홈페이지에서 개인정보를 담은 엑셀, pdf파일등이 자주 검색되어 나옵니다.

폐문부재

구글에서 우연히 이 단어를 검색해 봤습니다.

폐문부재란 공공기관에서 많이 쓰이는 용어입니다. 고지서등을 보냈는데 문이 닫히고 없어서 전달하지 못했다라는 의미일텐데요...

폐문부재를 검색하면 hwp와 XLS등 개인 관련 이름, 주소등이 쫙 나옵니다.

특히 게시판을 사용하면서 별도로 마련한 디렉토리의 upload, download 폴더는 그대로 개방되어 있는 곳이 대부분입니다.

여기에 있는 도큐멘트 문서들을 클릭하면 개인정보가 담긴 파일을 그대로 다운로드 하여 PC에 저장이 가능합니다.

제가 '폐문부재' 와 같은 예를 들었는데 다른 키워드로 동창회 회원목록, 친목회 주소록등이 그대로 노출되어 있는 사이트들이 참 많습니다.

이것은 개인정보보호에 있어 robots.txt의 중요성이 잘 알려지지 않아서 그럴 것입니다.

국제적으로 로봇배제 표준이 있습니다. 이것은 각사이트에 robots.txt를 만들어 기술하는 것이고 로봇에 대한 정보 접근을 제한하는 방식입니다.

특히 개인정보가 담겨져 있는 디렉토리는 반드시 로봇배제에 대해 아래와 같이 배제한다는 기술이 robots.txt에 있어야 합니다.

User-agent: *

Disallow: /upload/

Disallow: /download/

개인정보보호정책에 있어서는 보안서버나 안전점검 필수 조항등 관련 보안업체의 수익과 밀접한 정책들은 적극적으로 규제함으로써 각 사이트운영자들이 반드시 보안업체의 서비스나 제품을 이용하도록 하면서도, 실제로 돈이 하나도 안들면서 중요한 robots.txt와 관련된

규제나 정책은 정작 보이지 않습니다.

그래서 비싼 돈을 들여 보안 서비스를 이용하면서도 정작 쉽고 중요한 곳은 막지 못하는 어이없는 상황이 벌어지고 있는 것 같습니다.

SSL과 같은 보안서버 구축이 안되어 있으면 수시로 공문도 잘도 보내고, 전화로 협박도 하면서 일 년에 몇십만원의 돈을 쓰게 만들면서...

robots.txt와 같은 중요한 보안장치에 대해서는 공공기관 스스로 안전장치를 푼 상태로 방치해 놓고 개인정보를 다 보여주는 상황을 스스로 만들고 있는 것입니다.

이제부터 공공기관이나 국가기관의 robots.txt의 미사용이나 부주의로 개인정보 유출은 심각하다는 것을 앞으로 인지해 나갔으면 합니다.