구글의 고급 검색 기능은 여전히 해커들의 기초적인 보안취약점 찾아내기용 도구로 쓰이는가 하면 양질의 콘텐츠를 누구나 쉽게 볼 수 있게하는 정보창구로 기능하기도 한다. 잘 쓰면 약이지만 못 쓰면 오히려 독이 되는 셈이다.
해커들은 대상 웹사이트의 보안취약점을 알아 내기 위해 기본적인 정보를 알아내는 도구로 여전히 구글 검색(구글링)을 널리 사용되고 있다. 악성코드로 사용할 수 있는 툴을 국내 포털 사이트에 비해 훨씬 쉽게 검색을 통해 알아낼 수 있는가 하면 구글 검색 기능을 이용해 어떻게 해킹할 수 있는지를 다룬 사이트도 등장했다.
이에 대해 구글 측은 구글링 자체는 '해킹'이 아니라고 주장한다. 그러나 구글의 검색기능 통해 에러메시지, 파일의 세부정보, 특정 권한을 취득하기 위한 참조파일, 로그인 페이지 등의 보안취약점을 발견해 SQL인젝션 등 추가적인 공격을 감행할 수 있다. 적어도 구글이 도의적인 책임을 면하기는 어려운 상황이다.
또한 미국 등 해외에서와 달리 국내에서는 네이버, 다음, 네이트 등이 검색 주도권을 갖고 있다. 익숙치 않은 사용자환경(UI) 때문에 구글링을 통해 정보가 널리 유통되지 못하는 문제도 있다.
■'구글도크' 여전히 해커들 즐겨찾기
지난 2004년에 국내에 공개된 일명 '구글도크(Googledork)'는 구글의 검색기능을 이용해 어떻게 개인정보를 수집할 수 있는지를 소개하고 있다.
구글의 해킹 전문 사이트(exploit-db.com/google-dorks)는 구글링을 통해 웹사이트의 보안취약점을 찾아내는 방법을 업데이트한다. 이 사이트는 지난 21일(현지시간)에도 약 10개가 넘는 구글 검색 기능을 이용할 수 있는 검색 방식을 소개했다.
전 세계를 상대로 방대한 양의 정보를 수집하고 있는 구글은 일반사용자들뿐만 아니라 해커들에게도 매력적인 도구인 셈이다. 실제로 구글의 서버, 구글 직원들을 상대로 한 악성코드 공격시도가 많은 것도 이 때문이다.
이외에도 몇 년 새 유행하고 있는 연예인 신상털기에 대해 누리꾼들은 종종 구글링 몇 번만 하면 집주소와 전화번호까지 다 알아낼 수 있다는 말을 하곤 한다. 구글링을 통해 미니홈피 주소를 뒤지거나 노출된 개인정보를 그만큼 쉽게 알아낼 수 있다는 말이다.
■구글링이 신상털기 조장한다?
이에 지난 29일 구글 본사 이동휘 검색팀 엔지니어와 화상회의 시스템을 통해 인터뷰를 했다. 그는 검색이 안 되게 막는다고 사이트의 보안성이 높아지는 것이 아니다라며 오히려 검색에 많이 노출될수록 보안취약점이 공개되고 이를 바탕으로 사이트를 보호할 수 있는 대책을 강구하게 된다고 밝혔다. 순기능을 잘 활용해야 한다는 설명이다.
그는 이어 검색 기능은 웹의 생태계를 반영하는 도구일 뿐이고, 검색을 통한 개인정보 유출사건이 많다는 것은 그만큼 웹 환경이 검색 기능을 제대로 활용하지 못하기 때문이라고 항변한다.
이동휘 엔지니어는 신상털기와 같이 검색기능을 통한 개인정보 유출사고를 두고 벌거벗은 임금님 이야기를 예로 들었다. 벌거벗은 임금님을 본 소년이 사실을 말하려고 해도 다른 사람들이 그의 입을 틀어막고 얘기를 못하게 한다.
개인정보 유출 사례와 비교하면 이미 웹 관리자의 부주의로 인해 노출된 '회원가입정보.xls'와 같은 파일을 아무런 제재 없이 접근할 수 있는 상황에서 구글링이 문제라고 지적할 수 없다는 는 설명이다. 벌거벗은 임금님이 개인들의 신상정보라면 이미 웹에 유출된 정보를 보여주는 구글검색(소년) 기능의 잘못을 탓하기 어렵다는 말이다. 그는 마이크로소프트의 빙과 같은 검색사이트 역시 마찬가지로 웹 상에 아무런 제재 없이 유출된 정보를 수집해서 보여준다며 민감한 개인정보와 같은 사안은 1차적으로 아예 웹상에 저장하지 않는 것이 답이라고 덧붙였다. 또 이와는 반대로, 오히려 검색에 많이 노출될수록 그동안 소홀했던 웹 상 보안 취약점이 발견된 가능성이 높다고 말한다.
■검색 원천봉쇄...되려 좋은 콘텐츠 유통 막기도
반대로 양질의 콘텐츠는 과도한 정보유출 우려와 정보를 공유한다는 인식 부족으로 검색을 통해 노출되지 않는 문제가 발생한다. 무리한 정보보안에 대한 인식이 오히려 좋은 콘텐츠의 확대재생산을 막는 식이다.
구글은 몇 가지 사례를 들어 이를 설명하고 있다. 작년에 사이버독도(www.dokdo.go.kr) 사이트가 웹 관리 소홀로 구글 검색에 노출되지 않았던 적이 있었다. 구글은 검색 로봇을 통해 전 세계 웹에 올라온 정보를 수집한 뒤 이를 검색 기능에 활용할 수 있도록 한다.
이 과정에서 웹 관리자는 'robots.txt'라는 검색규약에 자신의 사이트가 검색되지 않도록 명령어를 입력할 수 있다. 예를 들어 이 검색규약 내에 'user-agent:* disallow:/'라고 입력한 뒤 웹페이지의 가장 상위 폴더에 두면 모든 검색로봇들이 이 사이트를 검색대상에서 제외시킨다.
독도문제에 관심을 가진 외국사람들이 구글 검색창에 ‘dokdo'라고 입력해도 관련 사이트는 검색되지 않는 문제가 발생한다. 이 사이트는 문제를 고쳤지만 여전히 여러 주요 사이트에서는 이와 같은 설정을 고수한다.
비슷한 사례는 또 있다. 한류열풍이 불고 있는 가운데 남자 아이돌 그룹인 슈퍼쥬니어의 홈페이지 역시 웹방화벽이나 네트워크 차단 기능 등을 이용해 'superjunior.smtown.com'이라는 홈페이지가 검색을 통해 노출되지 않는다.
한때는 온라인 표준국어대사전(stdweb2.korean.go.kr)가 검색되지 않아 외국인들이 한글을 익히는데 필요한 자료를 얻지 못해 불편함을 겪은 일도 있다고 구글측은 설명했다.
국사편찬위원회가 웹상에 제공하는 조선왕조실록 세종실록지리지 원문서비스(sillok.history.go.kr) 역시 검색규약에 'user-agent:* diasllow:/'라고 명시돼 있어 검색되지 않는다. 이 때문에 세종실록지리지가 무슨 책인지는 알 수 있으나 원문내용을 확인하기 위해서는 직접 사이트 주소를 알아내 접속하는 방법을 쓰는 수밖에 없다.
이와 같은 현실은 한국과 일본의 위키피디아를 검색하면 적나라하게 드러난다. 이동휘 엔지니어는 예를 들어 강화도 조약을 위키피디아로 검색하면 한국 일본이 훨씬 더 상세하게 내용을 설명하고 있다고 말했다. 심지어 한국 위키에 올라온 강화도 조약 자료 사진 역시 일본 위키에서 인용한 것이라는 설명이다.
■구글링, 이미 깊숙이 자리 잡은 도구
구글의 순기능을 잘 활용해야 하는 만큼 구글의 검색기능이 최근 이어지고 있는 개인정보유출사고나 해킹사고 등에 대해 아무런 책임이 없는 것은 아니다. 노출되지 말아야할 개인정보가 한번 공개되면 이를 웹상에 완벽히 지우는 일 자체가 어렵다. 구글링을 통해 해킹툴 유포 사이트 역시 손쉽게 알아내고 필요한 툴을 확보할 수 있다는 문제도 남는다.
관련기사
- 구글, 개인정보보호 비상팀 운영2012.08.31
- 구글 해킹 직접 해보니..."너무 쉬워…"2012.08.31
- 해커들, 해킹 기법 대세는 'SQL인젝션'2012.08.31
- 구글 해킹상금 지급 '돈 잃고 명예 잃고'2012.08.31
웹관리자에게 모든 책임을 묻기에는 구글이 수집한 정보가 너무 방대하기 때문이다. 더구나 검색을 통해 모든 내용이 유출되는 만큼 개인정보가 들어있는 파일이 검색로봇을 통해 수집되더라도 공개되지 않도록 할 수 있는 방안을 찾아야한다는 과제가 남는다.
이는 구글 뿐 아니라 국내에 서비스 중인 모든 포털사이트가 관심을 갖고 대처해야 하는 부분이기도 하다.