구글을 통한 개인정보 노출 시 
구글 자동 삭제 시스템 이용 방법 및 세부절차
구글 검색엔진은 전 세계적으로 가장 강력한 성능을 가진 검색엔진으로 명의도용 의도를 가진 이용자가 자주 이용하는 창구역할을 하고 있습니다. 따라서 홈페이지를 통한 개인정보 노출 방지를 위해서는 홈페이지에서 노출된 개인정보를 구글 검색엔진이 수집하였는지 지속적으로 파악하고 점검할 필요가 있습니다. 구글 검색엔진을 통한 노출 유형과 조치 방법은 다음과 같습니다.
가. 일반적인 경우
<구글에 개인정보가 검색된 화면> <링크된 개인정보 노출화면>
1) 유형 설명
이것은 구글 검색엔진을 통해 방문한 해당 웹페이지에 개인정보가 발견되는 유형입니다. 최근 구글검색엔진은 주민등록번호 중 뒤의 7자리를 *로 치환하여 검색결과를 일부 제공하기도 하지만, 여전히 주민등록번호 13자리가 모두 검색결과로 제공되는 경우가 발생하고 있습니다. 따라서 이 유형은 검색결과의 *치환 여부와 관계없이 검색 결과를 클릭하였을 때, 해당 웹페이지에 개인정보가 존재하는 경우를 말합니다. 
2) 조치 방법
이러한 유형의 노출이 발견되면 먼저 해당 웹페이지에 있는 내용 중 개인정보를 즉시 삭제하여야 합니다. 그 후에 검색엔진 배제표준이나 메타 태그를 적용합니다. 검색엔진 배제표준을 적용하기 위해서는 다음과 같은 내용으로 된 robots.txt 파일을 웹서버의 루트 디렉토리에 저장합니다. 
User-Agent: *
Disallow:/
또한 메타태그를 적용하기 위해서는 삭제하려는 웹페이지의 소스코드 파일(HTML 파일)에 <META NAME = GOOGLEBOT" CONTENT= "NOINDEX, NOFOLLOW">를 포함합니다.
이제 구글의 자동제외 시스템에 접속하여 개인정보 노출이 발견된 웹페이지를 캐쉬에서 삭제 처리해달라고 요청합니다. 정상적인 프로세스를 거칠 경우 삭제 처리는 요청 후 일주일 정도 소요됩니다.
가) 구글 회원 가입 및 로그인
구글 자동삭제 시스템 이용을 위해서 먼저 구글 웹사이트에 가입 한 후 로그인합니다.
나) 구글 자동삭제 시스템에 접속
(1) 로그인 상태에서 다음과 같은 구글 자동삭제 시스템에 방문합니다.
https://www.google.com/webmasters/tools/removals?hl=ko
(2) 초기 화면에서 “Google 검색결과에서 시한이 지났거나 ”사용하지 않는 링크“로서, 404-파일을 찾을 수 없음 오류에 해당되는 링크입니다” 를 선택하고 “다음” 버튼을 선택합니다. 
<구글 자동삭제 시스템 접속 화면>
나) Google 검색결과에서 기한이 지난 링크제거
(1) “Google 웹 검색결과” 를 선택합니다.
(2) “웹페이지 또는 이미지 URL”에 기 삭제한 홈페이지 URL 주소를 입력하고 “요청 제출”을 클릭합니다.(이 때, 구글 캐쉬 주소를 입력하면 삭제처리가 되지 않으므로 주의합니다.)
<Google 검색결과에서 기한이 지난 링크제거 화면>
다) 삭제 요청 처리 상태 확인
자동 삭제처리 시스템에서 “내 제거 요청”을 클릭하면 현재 삭제 요청 정보 및 처리 상태를 확인할 수 있습니다.
<삭제요청 처리 화면>
나. 구글DB에만 노출이 존재하는 경우
<구글에 개인정보가 검색된 화면> <삭제된 해당 웹페이지 화면>
1) 유형 설명
이것은 개인정보가 포함되어 있는 웹페이지는 삭제되었으나, 구글 검색엔진에 저장되어 검색 시 개인정보가 발견되는 유형입니다. 
2) 조치 방법
검색엔진 배제표준이나 메타 태그를 적용합니다. 구체적인 조치 방법은 「가」의 경우와 같습니다. 
이제 구글의 자동삭제 시스템에 접속하여 개인정보 노출이 발견된 웹페이지를 캐쉬에서 삭제 처리해달라고 요청하는데, 그 세부절차는 p19 ~ 21의 구글 자동삭제 시스템 이용절차와 같습니다. 구글 자동삭제 시스템을 이용하지 않고, 구글 웹사이트 관리자에게 이메일을 통해 삭제를 요청하는 정상적인 프로세스를 통하면 삭제 처리는 요청 후 6주 ~ 8주가 소요됩니다.
다. 구글의 인증우회방식에 의한 개인정보 노출의 경우
1) 인증 우회 개요 
일반적으로 웹 서버는 관리자 페이지와 같이 접근제한이 필요한 일부영역에 대해서 인증 등의 절차를 통하여 제한적으로 접근을 허용하도록 구성되어 있습니다. 
그러나 웹 서버의 접근제한 기능이 불완전하게 구성되는 경우, 구글과 같은 검색엔진은 인증절차를 거치지 않고 우회하여 인증이 필요한 페이지에 접근하고, 접근하여 획득한 정보를 검색엔진 DB에 저장함으로써 일반 인터넷 이용자에게 해당 정보가 제공됩니다. 특히 웹 서버내의 각 관리자 페이지들은 서로 링크되어 있어서 하나의 관리자 페이지에만 접속하면 모든 관리자페이지에 접근할 수 있으므로 인증이 필요한 영역 전체에 완전한 인증절차를 요구하도록 홈페이지를 구현하여야 합니다. 
2) 검색엔진의 인증우회 방법
구글과 같은 검색엔진은 해킹과 같은 비정상방법이 아닌 정상적인 웹서버 접근방법에 의해서 인증을 우회할 수 있습니다.
이 때 구글과 같은 검색엔진이 정상적인 접근에 의해 인증을 우회하는 방법은 ①관리자 페이지 영역의 URL 자동접근 ②웹보안 취약점을 통한 접근 등 두 가지 경우가 있습니다.
① 관리자 페이지 영역의 URL 자동접근
이 경우는 구글과 같은 검색엔진은 웹 서버에 접근할 때, 일반 이용자들이 웹 브라우저를 이용하는 것과는 달리 Socket을 통해서 웹 서버에 접근하기 때문에 발생합니다.
먼저 구글과 같은 검색엔진은 웹 서버 내의 정보 검색 시 현재 접근한 페이지의 링크 추적, 과거에 접근했던 URL 리스트를 이용한 검색, URL에 포함된 파라미터값 자동 계산 등의 다양한 방법을 이용하여 검색할 수 있습니다. 이러한 검색과정에서 관리자 페이지에 해당하는 특정 URL이 검색되면, 웹 브라우저를 이용하여 URL에 접근하는 경우에는 웹 서버가 접근을 요청한 웹 브라우저의 아이디에 대한 세션 체크 등의 접근 유효성을 검사하지만, 검색엔진의 Socket 통신을 이용하는 경우 이러한 유효성 검사를 생략하므로 해당 웹 페이지에 바로 접근할 수 있습니다.
② 웹보안 취약점을 통한 접근
이 경우는 웹 서버가 디렉토리 리스팅과 같은 보안 취약점을 갖는 경우에 발생합니다. 즉, 구글과 같은 검색엔진은 URL 정보 획득 과정에서 URL 뒤에 / 만을 붙여서 체크할 수 있는 디렉토리 리스팅 취약점 페이지 정보를 획득하게 되고, 이 취약점에 노출된 디렉토리가 관리자 페이지와 같이 인증을 필요로 하는 페이지인 경우 인증을 거치지 않고 접근할 수 있습니다.
3) 검색엔진의 인증우회 방지방법
① 관리자 페이지 영역의 URL 자동접근
검색엔진의 인증우회는 근본적으로 인증이 필요한 페이지 영역 전체에 대해 인증 요구 절차가 완전히 구현되지 않아서 발생합니다. 따라서 관리자는 인증을 필요로 하는 모든 영역에 속한 모든 페이지 접근 시 인증절차를 거치도록 설계하여야 합니다.
예를 들어 JAVA로 구현된 웹페이지의 경우, 각 웹 페이지 상단에 다음과 같은 소스 코드를 삽입합니다.
<jsp:include flush="true" page="session_check.jsp" />
여기서 session_check.jsp 파일은 인증을 처리하는 파일로 실제 적용 코드에는 이 파일이 있는 전체 URL을 적습니다. 이 때 session_check.jsp 파일의 예는 다음과 같습니다.
<%
 // 세션 체크
 SPInfoBean bean = (SPInfoBean) session.getAttribute("user.login");
 if (bean == null) {
%>
  <script>
   alert('로그인 정보가 없습니다.');
   this.location = "index.jsp";
  </script>
<%
 }
%>
② 웹보안 취약점을 통한 접근
웹보안 취약점을 통한 접근에 대한 인증우회를 방지하기 위해서는 웹 서버 내의 모든 디렉토리에 대한 디렉토리 리스팅 취약점을 제거하여야 합니다. 이에 대한 조치방법은 본

+ Recent posts