태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

실종아동 사이트, 해킹 무방비에 대응도 느릿느릿

실종아동 제대로 찾기 2007/07/30 23:18

실종아동 사이트 해킹 무방비

2년 가까이 무방비 상태로 운영에 신고 받고도 4일 이상 고치지 않아


* 이 글은 지난 2007년 7월 31일경 "기관의 명예를 훼손했다"는 이유로 "게시물 중단 요청(권리 침해 신고)"을 해서 한 달간 임시 삭제 조치 되었던 글입니다.

하지만, 그 명예를 훼손당했다던 기관은 명예훼손으로 저에게 어떠한 조치도 취하지 않았습니다. 그래서한 달이 지난 시점에 자동으로 되살아났습니다.

이제 이 글은 안전합니다. 같은 글에 대해서는 두 번 중단 요청을 할 수 없기 때문입니다.

하지만, 저는 "국가로부터 위탁 받아, 국가의 일을 하는 기관"이
자신들의 일을 제대로 하지 못함을 꾸짖는 국민에게
명예훼손 운운한다는 사실이 정말 우스울 따름입니다.

실종아동 기관은 즉시, 명예훼손 고소를 하시기 바랍니다.
모든 시민 단체들이 아마 저를 도와주리라 믿습니다.
(이미 도와주겠다고 밝힌 곳도 여럿 있지요)


실종 아동을 제대로 찾자는데,

그에 대해서 토를 다는 것은

누구입니까?


(이 글을 올린 이후로 실종아동 전문기관의 홈페이지는 아무런 공지없이 1주일 가량 다운되어서 썰렁한 첫화면만 보여주었습니다. 그리고 며칠전에도 약 1일간 다운되었지만, 아무 공지가 없었습니다.

국가의 사이트가 이렇게 불안한데, 보건복지부는 무엇을 하고 있을까요?

아하, 실종아동 전문기관에 문의하라구요? ^^

한글로. 2007.8.31



혹시나 해서 점검해보니


이미 앞의 글에서 밝혔듯이, 나는 웹기획자로서 보건복지부가 위탁한 어떤 서비스를 관리하고 있다. 내가 하는 일은 전반적인 웹사이트의 기획, 업무적인 기획 등등 여러가지 일이다. 웹사이트의 보안 테스트나 VISTA 호환성 테스트 등등도 진행한다.

실종아동 전문기관의 사이트 (http://missingchild.or.kr )의 공지사항에는 아래와 같은 내용이 들어있다.

또한, 지속적인 나의 캠페인으로 인해 압박을 받자, 아래와 같은 공지문을 올린다.  (2007.6.4)

ActiveX 설치에 대하여 

실종아동 찾기에 관심 가져 주셔서 감사합니다.

  실종아동전문기관에서는 실종아동 및 장애인의 실종신고접수 자료를 경찰청과 공유하고 있으며, 또한 전국 시설보호 아동 및 장애인 중 보호자가 확인되지 아니한 대상의 신상카드를 접수받아 DB화하여 홈페이지에 공개하고 있습니다.  

  실종아동등의 관련 정보의 보호조치 및 공개,열람에 대한 내용은 “실종아동등의 보호 및 지원에 관한 법”률(‘05. 12. 1시행) 시행령 제4조제1항 규정하고 있는데, 그 내용은 “전문기관의 장은 법 제8조의 규정에 의하여 신상카드를 활용한 데이터베이스를 구축,운영함에 있어서 정보 또는 자료를 안전하게 보호하기 위한 정보복구 체계의 구축 및 외부침입 방지장치의 설치 등 정보 또는 자료보호에 필요한 조치를 하여야 한다”. 라고 규정하고 있습니다.

  이에 따라 우리 기관에서는 내부 주전산 프로그램을 사용하고 있으며 내부전산 프로그램의 데이터를 웹 인터페이스 통해 홈페이지에 구현되고 있습니다.  따라서 구현하는 개발Tool 자체로서 보안등의 사유로 ActiveX 프로그램을 첫 방문 시에 설치하도록 하고 있습니다.

  그러므로 여러분들께서 다소 불편함이 있으시더라도 홈페이지 첫 방문시에만 ActiveX를 설치해 주시면 이후로는 모든 정보를 확인하실 수 있으므로 양해하여 주시기 바랍니다.  

  다시 한번 여러분들의 넓은 이해 부탁드리며, 실종아동에도 많은 관심 부탁드립니다.
 감사합니다.  


즉, 정보보호에 대한 조치를 강구해야 한다고 되어 있다. 덕분에 전혀 보안과 관련없는 리포팅 툴을 설치해 놓는 헤프닝이 몇년째 계속되고 있다. (그 액티브X가 보안과 상관없음은 여러 글을 통해서 밝혔다.)


그래서, 얼마나 제대로 웹사이트를 방어하는가를 알아보기 위해서, 아주 간단한 테스트를 해보았다. 내가 담당하는 시스템의 보안을 점검할 때하는 가장 간단한 테스트로, 상용 웹사이트의 프로그래머라면 당연히 막아야 할 부분이었다.


그런데, 어이없게도 아래와 같은 운영자 모드로 접근이 가능했다. 나는 암호도 모르는데 말이다!


사용자 삽입 이미지


▲ 보안이 전혀 안된 실종아동 전문 웹사이트
http://missingchild.or.kr 의 관리자 화면
(알려준지 나흘이 지나서야 보안을 적용하였음)


실종아동 기관과 보건복지부에 알려도 느릿느릿 나흘 걸려

나는 악의적인 해커가 아니기때문에, 이러한 사실을 실종아동 전문기관에 이메일을 보냈고(2007.7.26. 13:53), 혹시 이메일이 도착하지 않으면 어쩔까싶어서 보건복지부에 민원을 넣어서 알려드렸다. 보건복지부에서는 "조치하겠다"는 답변도 받았다. 이것이 엊그제 저녁의 일이다. (2007.7.26일 저녁)


그렇지만, 오늘(2007.7.30) 아침에도 전혀 조치되어 있지 않았다. 계속해서 관리자 페이지는 열리고 있었다. 그래서 아침에 다시 보건복지부에 "예제 와 정답"도 알려주었다. 하지만.. 그것이 처리된 것은 그로부터도 몇시간이 지난 오후 4시경이다. 진짜 해커가 경고를 했더라도 이렇게 더뎠을까? 자그마치 나흘이 걸렸다. 해커는 아마 기다리다가 지쳤을지도 모르겠다.

이 웹사이트는 이 디자인으로 무려 2년이상을 운영한 곳으로 알고 있는데, 그럼 그동안 누군가가 들어왔을 수도 있지 않은가?

그 기관의 주장대로라면 Active-X로 보안을 했는데 왜 이런일이 일어났을까? 다시 말하거니와 그들이 설치를 강요하는 Active-X는 보안툴이 아닐뿐더러, 보안툴을 아무리 깔아도, 프로그램에서 체크하지 않으면 안되는 부분이기 때문이다.


큰 대문 열어놓고 창문만 닫은데다 해결 의지도 없어


이 경우를 일컬어 "대문을 활짝 열어놓고" 창문을 꼭꼭 닫고, 창문을 열때마다 비밀번호를 눌러야 하는 장치를 닫고서 "우리집은 안전하다"고 하는 격과 같다. 또한, 그러한 사실을 알려주고, 내 전화번호도 남기면서 "문의사항이 있으면 하라"고까지 해주었지만... 역시... 아무런 문의도 오지 않았다. 의지 자체도 없는 것으로 판단할 수 밖에 없다.

그래서 어쩔 수 없이 며칠이 지난 오늘, 다시 직접 해결책까지 알려준 것이다.

그런데, 이게 무척이나 어려운 부분은 아니었다.

프로그래머가 수정해야 할 부분은 단 몇 줄. 그것도 걸리는 시간은 30분을 넘지 않을 간단한 작업이었다. 사실, 이런 기초적인 부분은 당연히 막혀 있어야 하며, 만약 내가 두리뭉실하게 지적을 했다고 하더라도 금방 알아채야 정상이다. 하지만, 이 곳은 그렇지 못했다.

해킹 경고에도 이렇게 느긋한 곳이, 과연 아이들을 찾는데는 얼마나 적극적일까?


이런 기관이 한두개일까?

솔직히, 담당 공무원도 별 관심이 없는 부분인데다가, 위탁 기관의 숫자와 웹사이트의 숫자가 어마어마한 상태이므로 이런 일은 어디나 벌어질 수 있다. 복지부 산하 기관 뿐만 아니라 많은 사이트가 "대문을 활짝 열고" 있는 실정일 것이다.

앞으로 시간이 날때마다 체크를 해서 국가에 알려주겠지만, 누군가가 마음만 먹으면... 어떤 사태가 벌어질지 뻔하다.

국가는 키보드 보안 Active-X를 도입하라고 강요할 뿐이지, 이런 간단한 체크는 하지 않고 있다. 그리고, 위탁운영기관은 그냥 "그들의 문제"라고 치부하고 관심을 끊고 있는 것은 아닌가? 위탁 운영되고 있는 중요한 곳이 얼마나 많은지 아는가?

제발.. 돈이 없어서 못한다는 소리는 하지말자. 앞서 예로 든 기관의 한 해 예산은 자그마치 8억원이다.

국가의 예산이 헛되게 사용되지 않았으면 하는 바램이다.

그리고, 실종아동기관의 각성을 바란다. 만약 이 사태로 키보드 보안등의 Acive-X를 도입하는 식의 이상한 대책을 세운다면... 나는 너무 화가 날 것만 같다.

* 이 글은 실종아동기관이 내가 지적한  보안문제를 수정하였음을 확인하고 올림을 밝혀둔다. 수정 전에 올렸더라면, 마음씨가 좋지 않은 해커들로 인해, 아마 그 홈페이지는 고난을 겪었으리라. (하지만, 2년 이상 그렇게 운영되었다)



세상을 바꾸는 작은 외침
미디어 한글로
media.hangulo.net


2007.7.27.최초 작성.(비공개) 7.30 최종 작성(공개로 전환)

* 이 글은 제 옛날 블로그에 있던 글을 옮겨온 것입니다. (http://blog.daum.net/wwwhangulo/7451854)



* 이 포스트는 blogkorea [블코채널 : 미디어 한글로] 에 링크 되어있습니다. 블로그코리아에 블UP하기
미디어 한글로의 글을 구독해서 편안히 받아보세요! 공짜입니다. ^^


인사이드 페이스북
예스24 | 애드온2

★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로
태그 , , , , ,
트랙백 0, 댓글 0개가 달렸습니다.

트랙백 주소 : http://media.hangulo.net/trackback/280 관련글 쓰기

댓글을 달아 주세요

미오 GPS 카킷으로 아이폰3GS를 고급 내비게이션으로 - 거치대+아이폰 GPS 증폭기+스피커+충전기+블루투스 핸즈프리
미오 GPS 카킷으로 아이폰3GS를 고급 내비게이션으로 - 거치대+아이폰 GPS 증폭기+스피커+충전기+블루투스 핸즈프리
2011/07/28
"인사이드 페이스북" 한글로의 올해 두 번째 책을 소개합니다
"인사이드 페이스북" 한글로의 올해 두 번째 책을 소개합니다
2010/11/22
[인사이드 페이스북] 알아두면 좋은 페이스북 팁 모음
[인사이드 페이스북] 알아두면 좋은 페이스북 팁 모음
2010/12/10
흠집이 사라진다고? - 3M 모바일 쉴드 아이폰 액정 보호 필름(스킨)
흠집이 사라진다고? - 3M 모바일 쉴드 아이폰 액정 보호 필름(스킨)
2010/11/16
지워진 휴대폰 사진 복구하는 법 - 소중한 사진이 지워졌다면?
지워진 휴대폰 사진 복구하는 법 - 소중한 사진이 지워졌다면?
2010/06/28
한글로가 "트위터 무작정 따라하기"를 냈습니다.
한글로가 "트위터 무작정 따라하기"를 냈습니다.
2010/04/09
분류 전체보기
더보기
한글로 정광현을 소개합니다. (2012년 1월 버전)
한글로 정광현을 소개합니다. (2012년 1월 버전) 2012/01/27

한글로는... 한글로 정광현 (볼리우드 미디어 대표 / 한국 인도 영화 협회 회장) - SNS 컨설턴트 - 각종 기업체 특강 / SNS 마케팅 전문가 / 블로그 마케팅 전문가 - IT관련 베스트 셀러 작가 - “트위터 무작정..

나경원 후보 "자화자찬" 트위터 사건에 대해.. [한글로의 꼼꼼한 분석]
나경원 후보 "자화자찬" 트위터 사건에 대해.. [한글로의 꼼꼼한 분석] 2011/10/17

들어가기 전에... 나경원 ‘자화자찬’ 트위터, 누가 썼을까… [한겨레] 2011.10.17 http://www.hani.co.kr/arti/politics/politics_general/500955.html 좀 우스운 일이..

퀄컴은 어느새 우리들 속에? - 퀄컴 소셜 미디어 데이를 다녀와서
퀄컴은 어느새 우리들 속에? - 퀄컴 소셜 미디어 데이를 다녀와서 2011/10/07

뒤늦은 후기 지난 2011년 9월 26일, 그러니까 벌써 1주일도 훨씬 지난 이야기다. 하지만, 나는 그 날 이후로 계속 지방에서 SNS 강의가 있어서 정신을 잃을 정도였고, 그러고 나니 후기를 써야 하겠다는 생각도 잊어버렸다..

경찰청장 이메일 해킹했다는 김의경 이야기.. 몇년전 내 이야기 닮았네
경찰청장 이메일 해킹했다는 김의경 이야기.. 몇년전 내 이야기 닮았네 2011/08/13

경찰청장 이메일 해킹? 간 큰 의경? 엊그제 들은 뉴스 하나 간 큰 의경…경찰청장 이메일 해킹, 대체 왜 http://media.daum.net/society/others/view.html?cateid=1067&newsid=2..

미오 GPS 카킷으로 아이폰3GS를 고급 내비게이션으로 - 거치대+아이폰 GPS 증폭기+스피커+충전기+블루투스 핸즈프리
미오 GPS 카킷으로 아이폰3GS를 고급 내비게이션으로 - 거치대+아이폰 GPS 증폭기+스피커+충전기+블루투스 핸즈프리 2011/07/28

미오 GPS 카킷으로 아이폰3GS를 고급 내비게이션으로 바꿔보자 거치대+아이폰 GPS 증폭기+스피커+블루투스 핸즈프리의 1석 5조 아이폰3GS를 내비로 사용한다는 것 자체가 문제! 아이폰 3GS를 사고, 쇼내비(지금의 올레내비..

트위터가 "강남역 출구 표지판"을 바꾸다
트위터가 "강남역 출구 표지판"을 바꾸다 2011/07/25

트위터가 "강남역 출구 표지판"을 바꾸다 명시도 낮은 출구 디자인은 쓸모없다 나는 블로거였다 하긴, 국민 모두가 '블로거 Blogger'가 될 수 있으니, 이런 제목 자체가 좀 우습긴하다. 어쨌든, 나는 블로그에 글을 쓰고 그..

[트위터 무작정 따라하기] Yes24 올해의 책 후보 선정, 2010 교보문고 베스트셀러, 인터파크 2010 최고의 책 후보 선정!
[트위터 무작정 따라하기] Yes24 올해의 책 후보 선정, 2010 교보문고 베스트셀러, 인터파크 2010 최고의 책 후보 선정! 2010/12/13

안녕하세요! 한글로입니다. 제가 올해 초에 쓰고, 5쇄까지 거듭하는 베스트셀러가 되어버린.. <트위터 무작정 따라하기>가 연말에 영광스러운 후보에 오르게 되어서 알려드립니다. <트위터 무작정 따라하기> 한글로 정광현 지음. 길..

[인사이드 페이스북] 알아두면 좋은 페이스북 팁 모음
[인사이드 페이스북] 알아두면 좋은 페이스북 팁 모음 2010/12/10

페이스북? 페북? 얼굴책? 얼숲? "시나브로"라는 말이 있습니다. (담배 이름을 연상하지는 마세요) '모르는 사이에 조금씩'이란 아름다운 우리말입니다. 시나브로 페이스북이 우리 곁에 다가왔습니다. 이미 200만명을 넘었다고..

날치기 국회에 날아간 가난한 아이들의 밥그릇과 아가들의 접종비 - 한나라당의 복지 완성!
날치기 국회에 날아간 가난한 아이들의 밥그릇과 아가들의 접종비 - 한나라당의 복지 완성! 2010/12/09

어제 있었던 날치기 국회에 대해서는 블로그에서 언급하지 않겠습니다. 그게 날치기였느냐는 우문에 대한 답변도 달지 않겠습니다. 하지만, 아래 두 개 기사를 보면서, 한나라당이 추구하는 우리나라가 어떤 나라인지 잘 알겠습니다. 의..

감동먹은 3M 모바일 쉴드 (휴대폰 보호필름)의 평생 보증 약속 - 부착에 실패해도 교환 가능?
감동먹은 3M 모바일 쉴드 (휴대폰 보호필름)의 평생 보증 약속 - 부착에 실패해도 교환 가능? 2010/12/04

내 휴대폰이 비닐에 싸여 있는 이유는? 그렇다. 지금 내 휴대폰은 마치 새 제품처럼 비닐에 싸여 있다. 왜냐하면... 지금 이 친구는 새 옷을 입고 하룻동안 보호 받아야 하는 처지(?)에 놓여서다. (한글로가 쓴 '인사이드..