최근 SK그룹에서 채용 시험을 진행하면서 내부적으로 운영중인 개인정보 관리 페이지가 구글과 같은 검색 사이트에서 검색되는 사고가 발생했었죠. 관리 페이지에서는 이름과 생년월일, 성별, 시험 결과 등을 확인할 수 있었다고 합니다. 이 개인정보 관리 페이지는 구글링만 하더라도 접근이 가능했고, 개인정보 1600건 중 300여명의 정보가 유출되었다고 하는데 휴대전화나 이메일 등의 연락처 정보는 포함되지 않았기 때문에 그나마 다행으로 보이는데요. 만약 이메일 정보까지 노출되었다면 합격 메일 등으로 위장한 피싱 메일로 인해 추가 피해가 발생하지 않았을까 생각됩니다.
이번 사례에서 보여지는 개인정보 관리 페이지 노출에 대해 잠깐 언급드리면.. 노출된 관리 페이지가 외부 검색 엔진에 의해서 노출된다는 것 자체가 사이트 구축 때부터 robots.txt 파일과 같이 검색 엔진에 의한 크롤링 방지 설정을 제대로 하지 않은 것으로 보이죠. 또한 관리자 페이지가 노출되더라도 관리자만 접근할 수 있도록 인증 과정을 거쳐야할텐데 해당 과정이 미흡했다고 볼 수 있을 것 같습니다. 사실 이런 문제는 실제 웹 사이트 운영 전 웹 취약점 진단을 통해 쉽게 찾아낼 수 있고 대응 방법도 그리 어렵지 않은데, 대기업에서 이런 실수를 한 걸 보니 중소기업은 얼마나 관리가 미흡할지 걱정입니다.
보통 개인정보 관리 페이지나 흔히 말하는 관리자 페이지는 보통 기업 내부만 접근할 수 있도록 설정하거나 관리자만 접속할 수 있도록 합니다. 그런데 위와 같이 검색 엔진에서 검색이 가능하거나, 편의성을 위해 관리자 페이지의 주소를 추측 가능하도록 하면 문제가 되는거죠. 관리자 페이지는 특정 IP만 접속할 수 있도록 접근 제어를 적절히 해야하고, 다중 인증이라고 부르는 MFA(Multi-Factor Authentication) 적용해야 하는데.. 즉, 단순히 아이디/패스워드를 이용한 지식 기반으로만 인증하는 것이 아닌 OTP 카드 같은 소유 기반, 지문인식 같은 속성 기반의 인증을 추가로 거쳐야겠죠.
또한 이전에는 빗썸이나 이스트소프트에서 채용자들에게 불합격 메일을 보낼 때 다른 불합격자들의 명단을 포함해서 발송하는 사건이 있었는데요. 보통 기업에서 합격이나 불합격 메일을 보낼 때, 각각 받는 사람을 다르게 해서 메일을 보내거나, 받는 사람에 여러 명의 메일을 포함하더라도 개별 발송을 통해서 메일을 보내야 합니다. 그래야 해당 기업에 지원한 사람들의 메일 정보를 노출하지 않을 수 있는데, 해당 사례는 받는 사람에 모든 불합격자 메일을 써서 보냈기 때문에 다른 불합격자의 메일 주소를 볼 수 있는 거였죠.
SK그룹 채용시험 ‘SKCT’ 응시자 개인정보 노출됐다
SK그룹이 채용시험인 ‘SKCT(SK Competency Test)’를 운영하는 외부 전문 평가기관이 사용하는 내부 관리페이지가 일부 검색사이트에 검색될 수 있으며, 그 과정에서 응시정보가 열람될 수 있다는 사
www.boannews.com
최근 데이터 3법이나 마이데이터 사업 때문에 개인정보에 대한 관리가 강화되었음에도 불구하고, 이번 사례와 같이 가장 기본적인 부분을 신경쓰지 않아서 생기는 문제들이 굉장히 많이 발생하고 있는데요. 이번 사례와 같이 관리자 페이지를 노출 시키지 않도록 하는 기술적인 부분도 중요하지만, 관리적 측면에서도 관련된 부서의 개인정보처리교육이나 직원들의 인식 제고가 필수적이라고 할 수 있을 것 같습니다. 그럼 오늘은 여기까지 설명드리도록하고 마치죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 코로나 특수 국민비서 사칭 네이버 피싱 메일 사례 (0) | 2021.11.19 |
|---|---|
| 기업 대상 사이버 공격 대비 모의훈련 사례 (0) | 2021.11.17 |
| 악성 문서와 구글 블로그를 이용한 해킹 사례 (0) | 2021.11.04 |
| 인스타그램, 페이스북 접속 오류 사태 (0) | 2021.10.05 |
| 정부 지원 대출 사칭 보이스피싱 사례 (0) | 2021.09.23 |
댓글