전문가들의 영역으로만 여겨지는 해킹. 그러나 일반인도 쉽게 접근할 수 있어 사회문제로 확대될 가능성이 있다.
8일 기자는 구글 고유의 검색 기능을 활용한 일명 '구글해킹'을 시도해 봤다. 회원가입이 필요한 국내 이사·물류 사이트와 행사 등록을 위해 만들어진 홈페이지, 그리고 해외 자동차 관련 커뮤니티 등이 타깃이었다. 그 결과 최근 등록한 것으로 확인된 구글 사용자의 이름, 연락처, 직장은 물론 관리자의 ID와 비밀번호 등을 단 몇 분만에 알아낼 수 있었다.
지난 1월과 6월 발생한 중앙선거관리위원회 서버에 대한 분산서비스거부(DDoS) 공격도 고등학생들의 호기심에 의한 사건이었다는 점을 고려하면 해킹기법을 악용한 범죄에 무방비로 노출돼있는 셈이다.
■구글해킹, 이렇게 쉬웠나?
구글해킹은 정말 쉬웠다. 지난 2010년 '구글해킹 절대내공'이라는 책이 출간됐을 정도로 이미 웹 기반 프로그램을 다룰 줄 아는 사람들에게는 널리 알려진 내용이기도 하다.
기자가 사용한 방법은 기본 고급검색 연산자를 사용하는 것이다. 하루 전날 해커 출신인 루멘소프트 보안기술연구팀 이종호 연구원의 도움을 받아 기본적인 내용을 숙지했다.
구글의 고급검색에는 파일유형이나 웹브라우저의 가장 윗부분에 뜨는 제목이나 홈페이지 주소에 특정 키워드를 검색할 수 있는 기능 등이 포함돼있다. 문제는 이를 활용해 특정 키워드를 검색하면 개인정보가 저장된 엑셀파일이나 관리자 권한을 가진 ID와 비밀번호를 알아낼 수 있다는 점이다.
구글 검색창에 'intitle:회원정보수정 inurl:admin/'이라고 입력해봤다. 웹페이지의 가장 윗부분의 제목에 해당하는 내용에 '회원정보수정'이라는 문구가 포함돼 있고, 통상 웹페이지 관리자들이 사용하는 'admin'이라는 키워드를 담은 내용을 검색하라는 의미다.
검색 내용 중 일부를 클릭해본 결과 '스마트코리아2011'의 회원정보수정에 대한 정보가 표시됐다. 이 행사에 참가신청한 사람의 이름과 주소, 이메일과 연락처, 직장명 등의 개인정보를 확인할 수 있었다.
또한 'inurl:member_excel.php'라고 입력한 뒤 검색버튼을 클릭해봤다. 대개 회원정보를 일일이 저장하는 경우는 거의 없기 때문에 엑셀파일에 포함된 해외 자동차 관련 동호회 사이트 회원들의 이름, 이메일, 가입한 IP주소, 실제 집주소 등이 그대로 노출됐다.
국내 모 사이트의 경우에도 같은 방식으로 약 45명의 이름, 연락처, 집주소 등의 정보를 확인할 수 있었다.
KT 해킹사건 등에서 보듯이 개인정보가 암암리에 거래되고 있다는 점을 고려하면 이렇게 모은 데이터를 매매하거나 직접 고객들을 유치하는데 활용할 수 있을 것으로 예상된다.
더구나 구글을 이용해 SQL인젝션 등 다양한 보안취약점을 이용해 해킹할 수 있는 방법을 소개한 사이트까지 나온 상황이라 마음만 먹으면 누구나 불특정 다수의 개인정보를 모으는 것을 일도 아니라고 여겨졌다.
■대응책은 없나?
구글 해킹을 방지할 수 있는 가장 기본적인 방법이 있다. 해킹이 일반적으로 특정 사이트나 프로그램의 보안취약점을 이용한다는 점을 생각해보면 웹페이지 관리자들의 허술한 관리를 지적할 수 있다.
구글이나 네이버 등은 검색기능에 필요한 정보를 모으기 위해 봇을 이용한다. '구글봇'과 '네이버봇'은 각각 수많은 웹페이지를 돌아다니며 검색할 때 표출하기 위한 글이나 이미지 등의 정보를 수집한다. 위와 같은 구글 해킹 방법도 실은 구글봇이 모은 정보를 '검색'한 것이 전부다.
루멘소프트 이종호 연구원은 기본적으로 구글봇이나 네이버봇 등은 자신이 관리하는 웹사이트 전체 혹은 일부 내용을 검색기능에 노출되지 않도록 설정할 수가 있다고 말했다.
검색기능을 제공하는 구글, 네이버 등은 모두 'robots.txt'라는 로봇규약을 사용한다. 여기에 사이트 내에 회원정보수정 혹은 admin 폴더가 검색되지 않도록 설정할 수 있다는 설명이다.
예를 들어 가장 'robots.txt'에 'user-agent:googlebot disallow:/'이라고 입력해서 웹페이지의 가장 상위 폴더에 두면 더 이상 구글봇이 이 사이트의 내용을 수집하지 않는다. 이는 특정 폴더목록이나 키워드의 형태로 설정할 수가 있다.
국내 보안전문가는 구글해킹을 모르는 사람이 거의 없을 정도이나 실제로 대기업이나 주요 금융사 사이트 등을 제외하고는 따론 robots.txt 설정을 하지 않은 곳도 비일비재하다고 밝혔다.
■해킹툴도 쉽게 구해...정보보호의식이 중요
보안업계에서는 검색기능을 활용하거나 각종 툴을 이용한 해킹은 결국 자발적인 보안의식을 높이는 방법만으로 해결할 수밖에 없다고 입을 모았다.
아마추어들은 구글 검색 기능을 이용하는 방법 외에 기존에 해킹툴을 활용하기도 한다. 중국 사이트나 피어투피어(P2P) 공유 프로그램 등을 통해 이와 같은 프로그램이 유포되면서 뜻하지 않은 사고를 불러일으키는 경우도 발생하고 있다.
실제로 지난 4월 선관위를 향한 DDoS공격은 고등학생 피의자 A모군⑰이 다른 고등학생 B김모군⑱이 운영하는 사설게임서버에 대해 공격을 감행했고, 이를 알게 된 김군이 선관위 투표소 찾기 서버쪽으로 전환시켜 발생했다.
관련기사
- 로이터 해킹, 구버전 '워드프레스' 탓?2012.08.08
- 넥슨 1320만 해킹 ‘무혐의’...KT 870만은?2012.08.08
- 해커들, 해킹 기법 대세는 'SQL인젝션'2012.08.08
- 현직 해커의 조언, '해킹 이렇게 막아라'2012.08.08
이와 같은 해킹관련 사고에 대해 한국인터넷진흥원(KISA) 관계자는 기술적으로 국내에 유해물로 판단되면 해외게시물은 한글로 써져있더라도 검색이 어렵다며 결국 인식을 바꾸는 방법을 취하는 수밖에 없다고 말했다. 구글해킹이나 DDoS공격 등이 범법행위이고, 잘못된 행위라는 점을 알려주고, 다른 사람의 정보가 중요하다는 인식을 심어주는 것 외에 강제할만한 수단이 없다는 설명이다.
경찰청 사이버테러대응센터 정석화 경정은 DDos 공격이 워낙 잦아 일부 큰 사건의 경우에만 수사에 들어간다며 특별히 수사대상이 되는 공격외에도 해킹은 비일비재하게 일어나고 있는 것으로 보고 있다고 밝혔다.
