디렉토리 나열로 인한 개인정보 유출

개인정보 유출 점검에 적발 되어서 사건 하나가 이관되었다. 현장 점검을 나가게되었다. 대상은 실제 개발중인 홈페이지 였는데 모바일 홈페이지를 추가하는 과정에 실수를 범한 모양 있다. 유출된 시스템 IDC에서 다 개발을 진행중인데 실수로 홈페이지에 robots.txt도 없는 상황이고, C Class 대역대 IP를 외부에 오픈한 상황이였다.

만약 서버가 내부에 위치하고 와이파이로 접속을 하고 테스트를 하였다면 이런 문제가 발생되지 않았을 수도 있다.

과거 몇년 전에 ISMS인증 대상을 받은곳이기도 하였으나 그 후 관리가 되지 않았고, 담당자가 바뀌는 등 전문 지식이 좀 많이 미흡한 상태였다. 최초 디렉토리 나열이 발생되어 개인정보가 유출 사고가 발생 되었어도 제거해야될 indexs의 위치를 찾지를 못해 서비스를 중지 시켰다고 한다.

1시간 정도 통화와 설득 끝에 우리가 현장 점검을 나가기 전 취약점 점검을 해야되니 오픈을 해달라고 요청하였고, 디렉토리 나열이 조치가 아직 안된거를 알고 환경을 물어보니 윈도우 서버에 Apache를 구동중이라고 한다 그래서 VirtureHost쪽 계정별에서도 설정이 가능하니 찾아 보라고 했다. 그래서 조치를 완료 했는데 구글 캐쉬는 삭제 신청을 해놓았다고 한다. 본인들 담당하는 입장에서는 굉장히 억울할수도 있겠고, 어설프게 알고 진행한것이 가장 큰 문제점이다.

robots.txt도 충분히 디렉토리별 관리가 가능하고, 외부 유출된 첨부 파일을 모아둔 디렉토리도 필터기능이나 아니면 세션관리를 통해 개별적인 세션이 없으면 접근을 못하게 하였어야 한다.

그리고 또 하나 놀라웠던 사실이 대표홈페이지에 sql injection이 있었는데 ISMS인증 심사시에도 발견 되었는데 발견된 부분만 조치하고, 특수문자만 필터링 하였다고 한다. 근본적인 해결법인 PreparedStatement를 사용하지 않고 땜빵적으로 조치한것도 가장 크다.

그리고 신규 오픈한 홈페이지에 대해서 워드프레스를 사용중인것에 대해 플러그인들에 대한 취약점 점검을 실사 하라고 하였다. 그리고 얼마 후 이행점검을 위해 둘러 보는중 robots.txt는 홍보를 위해서 계속 사용해야 된다고 한다. 디렉토리 별로 권한 설정이 가능하다고 하여도 별로 고칠 생각이 없나 보다.