1. ‘구글 해킹’ 점검
2000년대 초반, 한국의 많은 관공서의 홈페이지, 웹사이트에 다른 사람에게 노출되어서는 안 될 ‘개인 정보’가 노출되어 있음이 구글 검색엔진을 통해 알려지는, 이른바 ‘구글 해킹’이라는 사태가 대대적으로 알려진 바 있습니다. 웹사이트나 홈페이지의 개발자는 로그인 등 특수한 절차를 거쳐야만 해당 파일들에 접근하는 것을 의도했지만, 구글 등의 검색엔진이 이런 절차를 생략하고 ‘개인정보’ 파일에 접근할 수 있는 경우가 발견된 것입니다. 이로 인해 한동안 관공서 홈페이지나 웹사이트는 검색엔진에 어떠한 정보도 노출하지 말라는 취지의 권고가 내려진 것처럼, 구글 등의 검색엔진에 어떠한 정보도 수집되지 않도록 차단되는 일도 벌어지곤 했습니다. 나아가 검색엔진에 노출되어서는 안 되는 정보가 웹사이트의 어느 경로에 있는지를 노출하는 방향의 권고가 내려지는 일도 있었습니다.
홈페이지나 웹사이트를 운영중이라면, 이렇게 검색엔진을 통해 혹시라도 노출되어서는 안 되는 정보가 노출되고 있지는 않은지 점검할 필요가 있습니다. 운영중인 홈페이지나 웹사이트의 주소에 딸려 있는 정보가 검색되는지의 여부를 검색엔진에 입력하는 것입니다. 예를 들어 운영중인 사이트가 guide.jinbo.net 이라면, 구글 검색엔진에 site:guide.jinbo.net 이라고 입력하여 검색 가능한 정보가 어떤 것이 있는지 살펴볼 수 있습니다.
물론 검색엔진에 노출이 되지 않았다고 하여 홈페이지나 웹사이트 어딘가에 게시되어 있지만 모든 사람에게 공개되어서는 안 되는 정보가 안전하게 보호되고 있다고 생각해서는 곤란합니다. 웹사이트나 홈페이지 자체의 보안 수준을 점검하고, CMS 도구 등을 통해 웹사이트나 홈페이지를 구축한 경우 CMS의 보안 업데이트를 지속적으로 반영할 수 있도록 해야 하겠습니다.
2. 악성코드 유포 방지 및 백업
자체 구축 홈페이지나 웹사이트를 운영중인 경우, 홈페이지나 웹사이트를 통해 악성 코드가 유포되지 않도록 각별한 주의가 필요합니다. 관리자 권한이 있는 계정을 탈취하여 웹사이트 화면 혹은 공지사항 게시물에 악성 코드를 숨기는 경우가 대거 발견되고 있습니다. 운영중이던 홈페이지나 웹사이트가 악성코드 유포 등의 진원지가 되어서도, 공격자의 공격이 성공한 채로 방치되어서도 곤란합니다.
게시물을 올릴 수 있는 권한이 있는 계정의 로그인 기록, 게시물 작성 및 수정 기록 등을 확인할 수 있는지, 모니터링할 수 있는 체계가 갖춰져 있는지 확인하고, 체계가 없다면 갖추도록 합시다. 특히 정기적으로 홈페이지, 웹사이트의 내용을 백업하고, 악의적인 공격자에 의해 홈페이지나 웹사이트의 내용이 위조, 변조되지는 않았는지 점검하고, 필요시 공격받지 않은 시점의 백업을 이용하여 복원하는 절차를 마련해야 합니다.