실종아동 사이트 해킹 무방비
2년 가까이 무방비 상태로 운영에 신고 받고도 4일 이상 고치지 않아
* 이 글은 지난 2007년 7월 31일경 "기관의 명예를 훼손했다"는 이유로 "게시물 중단 요청(권리 침해 신고)"을 해서 한 달간 임시 삭제 조치 되었던 글입니다.
이제 이 글은 안전합니다. 같은 글에 대해서는 두 번 중단 요청을 할 수 없기 때문입니다.
하지만, 저는 "국가로부터 위탁 받아, 국가의 일을 하는 기관"이
자신들의 일을 제대로 하지 못함을 꾸짖는 국민에게
명예훼손 운운한다는 사실이 정말 우스울 따름입니다.
실종아동 기관은 즉시, 명예훼손 고소를 하시기 바랍니다.
모든 시민 단체들이 아마 저를 도와주리라 믿습니다.
(이미 도와주겠다고 밝힌 곳도 여럿 있지요)
실종 아동을 제대로 찾자는데,
그에 대해서 토를 다는 것은
누구입니까?
(이 글을 올린 이후로 실종아동 전문기관의 홈페이지는 아무런 공지없이 1주일 가량 다운되어서 썰렁한 첫화면만 보여주었습니다. 그리고 며칠전에도 약 1일간 다운되었지만, 아무 공지가 없었습니다.
국가의 사이트가 이렇게 불안한데, 보건복지부는 무엇을 하고 있을까요?
아하, 실종아동 전문기관에 문의하라구요? ^^
한글로. 2007.8.31
혹시나 해서 점검해보니
이미 앞의 글에서 밝혔듯이, 나는 웹기획자로서 보건복지부가 위탁한 어떤 서비스를 관리하고 있다. 내가 하는 일은 전반적인 웹사이트의 기획, 업무적인 기획 등등 여러가지 일이다. 웹사이트의 보안 테스트나 VISTA 호환성 테스트 등등도 진행한다.
실종아동 전문기관의 사이트 (http://missingchild.or.kr )의 공지사항에는 아래와 같은 내용이 들어있다.
또한, 지속적인 나의 캠페인으로 인해 압박을 받자, 아래와 같은 공지문을 올린다. (2007.6.4)
ActiveX 설치에 대하여
실종아동 찾기에 관심 가져 주셔서 감사합니다.
실종아동전문기관에서는 실종아동 및 장애인의 실종신고접수 자료를 경찰청과 공유하고 있으며, 또한 전국 시설보호 아동 및 장애인 중 보호자가 확인되지 아니한 대상의 신상카드를 접수받아 DB화하여 홈페이지에 공개하고 있습니다.
실종아동등의 관련 정보의 보호조치 및 공개,열람에 대한 내용은 “실종아동등의 보호 및 지원에 관한 법”률(‘05. 12. 1시행) 시행령 제4조제1항 규정하고 있는데, 그 내용은 “전문기관의 장은 법 제8조의 규정에 의하여 신상카드를 활용한 데이터베이스를 구축,운영함에 있어서 정보 또는 자료를 안전하게 보호하기 위한 정보복구 체계의 구축 및 외부침입 방지장치의 설치 등 정보 또는 자료보호에 필요한 조치를 하여야 한다”. 라고 규정하고 있습니다.
이에 따라 우리 기관에서는 내부 주전산 프로그램을 사용하고 있으며 내부전산 프로그램의 데이터를 웹 인터페이스 통해 홈페이지에 구현되고 있습니다. 따라서 구현하는 개발Tool 자체로서 보안등의 사유로 ActiveX 프로그램을 첫 방문 시에 설치하도록 하고 있습니다.
그러므로 여러분들께서 다소 불편함이 있으시더라도 홈페이지 첫 방문시에만 ActiveX를 설치해 주시면 이후로는 모든 정보를 확인하실 수 있으므로 양해하여 주시기 바랍니다.
다시 한번 여러분들의 넓은 이해 부탁드리며, 실종아동에도 많은 관심 부탁드립니다.
감사합니다.
즉, 정보보호에 대한 조치를 강구해야 한다고 되어 있다. 덕분에 전혀 보안과 관련없는 리포팅 툴을 설치해 놓는 헤프닝이 몇년째 계속되고 있다. (그 액티브X가 보안과 상관없음은 여러 글을 통해서 밝혔다.)
그래서, 얼마나 제대로 웹사이트를 방어하는가를 알아보기 위해서, 아주 간단한 테스트를 해보았다. 내가 담당하는 시스템의 보안을 점검할 때하는 가장 간단한 테스트로, 상용 웹사이트의 프로그래머라면 당연히 막아야 할 부분이었다.
그런데, 어이없게도 아래와 같은 운영자 모드로 접근이 가능했다. 나는 암호도 모르는데 말이다!
▲ 보안이 전혀 안된 실종아동 전문 웹사이트
http://missingchild.or.kr 의 관리자 화면
(알려준지 나흘이 지나서야 보안을 적용하였음)
실종아동 기관과 보건복지부에 알려도 느릿느릿 나흘 걸려
나는 악의적인 해커가 아니기때문에, 이러한 사실을 실종아동 전문기관에 이메일을 보냈고(2007.7.26. 13:53), 혹시 이메일이 도착하지 않으면 어쩔까싶어서 보건복지부에 민원을 넣어서 알려드렸다. 보건복지부에서는 "조치하겠다"는 답변도 받았다. 이것이 엊그제 저녁의 일이다. (2007.7.26일 저녁)
그렇지만, 오늘(2007.7.30) 아침에도 전혀 조치되어 있지 않았다. 계속해서 관리자 페이지는 열리고 있었다. 그래서 아침에 다시 보건복지부에 "예제 와 정답"도 알려주었다. 하지만.. 그것이 처리된 것은 그로부터도 몇시간이 지난 오후 4시경이다. 진짜 해커가 경고를 했더라도 이렇게 더뎠을까? 자그마치 나흘이 걸렸다. 해커는 아마 기다리다가 지쳤을지도 모르겠다.
이 웹사이트는 이 디자인으로 무려 2년이상을 운영한 곳으로 알고 있는데, 그럼 그동안 누군가가 들어왔을 수도 있지 않은가?
그 기관의 주장대로라면 Active-X로 보안을 했는데 왜 이런일이 일어났을까? 다시 말하거니와 그들이 설치를 강요하는 Active-X는 보안툴이 아닐뿐더러, 보안툴을 아무리 깔아도, 프로그램에서 체크하지 않으면 안되는 부분이기 때문이다.
큰 대문 열어놓고 창문만 닫은데다 해결 의지도 없어
이 경우를 일컬어 "대문을 활짝 열어놓고" 창문을 꼭꼭 닫고, 창문을 열때마다 비밀번호를 눌러야 하는 장치를 닫고서 "우리집은 안전하다"고 하는 격과 같다. 또한, 그러한 사실을 알려주고, 내 전화번호도 남기면서 "문의사항이 있으면 하라"고까지 해주었지만... 역시... 아무런 문의도 오지 않았다. 의지 자체도 없는 것으로 판단할 수 밖에 없다.
그래서 어쩔 수 없이 며칠이 지난 오늘, 다시 직접 해결책까지 알려준 것이다.
그런데, 이게 무척이나 어려운 부분은 아니었다.
프로그래머가 수정해야 할 부분은 단 몇 줄. 그것도 걸리는 시간은 30분을 넘지 않을 간단한 작업이었다. 사실, 이런 기초적인 부분은 당연히 막혀 있어야 하며, 만약 내가 두리뭉실하게 지적을 했다고 하더라도 금방 알아채야 정상이다. 하지만, 이 곳은 그렇지 못했다.
해킹 경고에도 이렇게 느긋한 곳이, 과연 아이들을 찾는데는 얼마나 적극적일까?
이런 기관이 한두개일까?
솔직히, 담당 공무원도 별 관심이 없는 부분인데다가, 위탁 기관의 숫자와 웹사이트의 숫자가 어마어마한 상태이므로 이런 일은 어디나 벌어질 수 있다. 복지부 산하 기관 뿐만 아니라 많은 사이트가 "대문을 활짝 열고" 있는 실정일 것이다.
앞으로 시간이 날때마다 체크를 해서 국가에 알려주겠지만, 누군가가 마음만 먹으면... 어떤 사태가 벌어질지 뻔하다.
국가는 키보드 보안 Active-X를 도입하라고 강요할 뿐이지, 이런 간단한 체크는 하지 않고 있다. 그리고, 위탁운영기관은 그냥 "그들의 문제"라고 치부하고 관심을 끊고 있는 것은 아닌가? 위탁 운영되고 있는 중요한 곳이 얼마나 많은지 아는가?
제발.. 돈이 없어서 못한다는 소리는 하지말자. 앞서 예로 든 기관의 한 해 예산은 자그마치 8억원이다.
국가의 예산이 헛되게 사용되지 않았으면 하는 바램이다.
그리고, 실종아동기관의 각성을 바란다. 만약 이 사태로 키보드 보안등의 Acive-X를 도입하는 식의 이상한 대책을 세운다면... 나는 너무 화가 날 것만 같다.
* 이 글은 실종아동기관이 내가 지적한 보안문제를 수정하였음을 확인하고 올림을 밝혀둔다. 수정 전에 올렸더라면, 마음씨가 좋지 않은 해커들로 인해, 아마 그 홈페이지는 고난을 겪었으리라. (하지만, 2년 이상 그렇게 운영되었다)
세상을 바꾸는 작은 외침
미디어 한글로
media.hangulo.net
2007.7.27.최초 작성.(비공개) 7.30 최종 작성(공개로 전환)
* 이 글은 제 옛날 블로그에 있던 글을 옮겨온 것입니다. (http://blog.daum.net/wwwhangulo/7451854)