http://www.zdnet.co.kr/news/internet/0,39024414,39129525,00.htm
지난 3일 CNET 뉴스닷컴은 구글 검색엔진에 간단한 검색어를 입력하면 신용카드 정보를 게재한 몇 개 웹사이트가 나타나는 것을 확인했다. 수백명 분량의 이 정보에는 신용카드 정보뿐만 아니라 카드 소유자의 주소와 전화번호도 적혀 있다. 구글 검색 결과에 나타난 신용카드 번호는 대부분 유효기간이 지났지만, CNET이 리스트의 사람들에게 전화로 확인한 결과 신용카드 번호는 정확한 것으로 드러났다.
이번 사건은 ‘구글 해킹’으로 알려진 최신 사례로, 똑똑한 웹 서퍼들이 세계에서 가장 유명한 웹검색 엔진을 파헤쳐, 민감한 개인정보를 노출시킬 가능성이 점점 커지고 있음을 시사한다.
디지털 보안 업체 @스테이크의 연구개발 부사장 크리스 위소팔은 “누구나 자신만의 검색 방식을 갖고 있다”며 “이런 방식으로 잘못된 설정으로 노출된 비밀 정보나 도용된 데이터를 검색하는 것”이라고 말했다.
이러한 데이터를 찾는데 구글이 활용되는 것은, 구글이 소프트웨어의 취약점과 인터넷에 연결된 컴퓨터의 보안 허점을 찾아 금융정보를 검색하는 강력한 옵션을 제공하기 때문이다. 대표적인 것이 신용카드 데이터를 찾는데 유용한 ‘숫자 범위 검색 기능’으로, 현재 다른 검색 엔진들은 이를 지원하지 않는다.
간단한 검색만으로 신용카드 번호 '우르르'
구글은 현재 기업공개(IPO)에 따른 정숙기간임을 이유로 이 사건에 대한 언급을 거부했다. 그러나 구글 내부 사정에 정통한 소식통에 따르면, 검색업체들은 아카이브에서 불법으로 판명된 페이지를 제거할 수 있는 웹마스터용 툴을 갖고 있다. 더구나 구글은 사회보장번호나 신용카드 번호가 포함된 문서가 검색결과로 나타날 경우 help@google.com에 페이지 링크를 신고해 해당 페이지를 제거해 달라고 요청할 수 있는 서비스를 실시하고 있다.
노스캐롤라이나 듀럼에 사는 키스 언스트는 올해초 자신의 직불카드 번호가 구글 검색 결과 페이지에 올라간 것을 발견했다. 아이러니하게도 그는 금융 사기방지 회사의 직원이다. 이를 발견한 언스트가 카드를 취소하기까지, 그의 직불카드 번호는 다양한 거래에 사용됐다. 한 외국인 학생은 대학 학비를 지불하려고 시도했다. 언스트는 “다른 사람의 금융 사기를 막는 일을 해온 내가 반대 입장에 놓이게 된 것만으로도 흥미로웠다”라고 말했다.
구글에 간단한 검색어만 입력하면 찾을 수 있는 언스트의 카드 정보는 현재 수백명의 금융 기록과 함께 아랍의 한 게시판에 게시돼 있다. 그가 가입한 신용카드 업체는 구매비용을 환불해 주었으며, 그는 인터넷 구매시 신용카드만을 사용하고 있다. 신용카드는 직불카드와 달리 구입 즉시 그의 계좌에서 빠져나가지 않아 사기 구매에 상대적으로 쉽게 대응할 수 있기 때문이다.
FBI는 수백명의 금융정보를 공개한 이 사이트들을 수사하고 있는지 즉시 확인해 주지 않았다. 이러한 사이트들은 전세계적으로 확산돼 있어 하나는 러시아 도메인명을 갖고 있었으며, 다른 것은 아랍어, 또다른 하나는 네덜란드에 위치해 있었다.
구글을 보안 도구로 활용하자?
금융정보를 게시한 웹사이트들이 등장하자, @스테이크의 위소팔은 주요 신용카드 업체가 오히려 구글을 보안 도구로 활용해야 한다고 말한다. 즉 잠재적으로 악한 사람들이 유출정보를 사용하기 전에 자사 사이트의 약점과 유출정보에 대해 검색을 해야한다는 것이다.
그는 “비자 카드는 예방 조치로 매일 이러한 검색을 해야 되지 않겠는가? 악당들은 이미 구글을 이용해 수백명의 신용카드 정보를 검색하고 있다. 착한 사람들이 똑같은 방법으로 이들을 물리치지 못할 이유가 있는가?”라고 반문했다. 이러한 감정은 지난주 라스베가스에서 발표된 블랙 햇 시큐리티 브리핑에서도 이어졌다. 보안 연구자들과 해커들은 보안이 허술한 서버와 데이터베이스를 정확히 짚어내는 구글의 능력에 놀라움을 금치 못했다.
이에 대해 비자 대변인 로제타 존스는 자사가 이미 사기행각을 적발할 수 있는 다양한 방안을 갖고 있다고 밝혔다. 그는 “구글이 데이터베이스에서 이들 번호를 찾았다면, 우리는 대부분의 경우 해당 번호가 도용됐음을 이미 인지한 상태다”라고 말했다. 비자는 신용카드 정보를 게재한 사이트를 찾기 위해 구글을 활용하진 않았지만, 이미 이러한 사이트들을 폐쇄하도록 조치를 취했다. 올해까지 비자는 신용카드 정보를 유통시킨 혐의로 20개 사이트를 폐쇄시켰다.
구글 소식에 정통한 소식통은 구글이 40억개에 달하는 인터넷 웹페이지를 효과적으로 감시할 수 없다고 지적한다. 구글은 법적으로 자사가 통제할 수 없는 ‘컨텐츠의 중재자’에 불과하기 때문에, 자사가 저장하거나 링크하는 컨텐츠에 대해 책임을 지지 않는다. 곧 소비자들 스스로 자신의 정보를 잘 감시해야 한다는 것이다. 그러나 사기빈도가 점점 늘어나면서 언스트와 같은 피해자도 속출하고 있다. 언스트는 “정보가 유출되고 있음을 확신한다”라고 말했다. @
지난 3일 CNET 뉴스닷컴은 구글 검색엔진에 간단한 검색어를 입력하면 신용카드 정보를 게재한 몇 개 웹사이트가 나타나는 것을 확인했다. 수백명 분량의 이 정보에는 신용카드 정보뿐만 아니라 카드 소유자의 주소와 전화번호도 적혀 있다. 구글 검색 결과에 나타난 신용카드 번호는 대부분 유효기간이 지났지만, CNET이 리스트의 사람들에게 전화로 확인한 결과 신용카드 번호는 정확한 것으로 드러났다.
이번 사건은 ‘구글 해킹’으로 알려진 최신 사례로, 똑똑한 웹 서퍼들이 세계에서 가장 유명한 웹검색 엔진을 파헤쳐, 민감한 개인정보를 노출시킬 가능성이 점점 커지고 있음을 시사한다.
디지털 보안 업체 @스테이크의 연구개발 부사장 크리스 위소팔은 “누구나 자신만의 검색 방식을 갖고 있다”며 “이런 방식으로 잘못된 설정으로 노출된 비밀 정보나 도용된 데이터를 검색하는 것”이라고 말했다.
이러한 데이터를 찾는데 구글이 활용되는 것은, 구글이 소프트웨어의 취약점과 인터넷에 연결된 컴퓨터의 보안 허점을 찾아 금융정보를 검색하는 강력한 옵션을 제공하기 때문이다. 대표적인 것이 신용카드 데이터를 찾는데 유용한 ‘숫자 범위 검색 기능’으로, 현재 다른 검색 엔진들은 이를 지원하지 않는다.
간단한 검색만으로 신용카드 번호 '우르르'
구글은 현재 기업공개(IPO)에 따른 정숙기간임을 이유로 이 사건에 대한 언급을 거부했다. 그러나 구글 내부 사정에 정통한 소식통에 따르면, 검색업체들은 아카이브에서 불법으로 판명된 페이지를 제거할 수 있는 웹마스터용 툴을 갖고 있다. 더구나 구글은 사회보장번호나 신용카드 번호가 포함된 문서가 검색결과로 나타날 경우 help@google.com에 페이지 링크를 신고해 해당 페이지를 제거해 달라고 요청할 수 있는 서비스를 실시하고 있다.
노스캐롤라이나 듀럼에 사는 키스 언스트는 올해초 자신의 직불카드 번호가 구글 검색 결과 페이지에 올라간 것을 발견했다. 아이러니하게도 그는 금융 사기방지 회사의 직원이다. 이를 발견한 언스트가 카드를 취소하기까지, 그의 직불카드 번호는 다양한 거래에 사용됐다. 한 외국인 학생은 대학 학비를 지불하려고 시도했다. 언스트는 “다른 사람의 금융 사기를 막는 일을 해온 내가 반대 입장에 놓이게 된 것만으로도 흥미로웠다”라고 말했다.
구글에 간단한 검색어만 입력하면 찾을 수 있는 언스트의 카드 정보는 현재 수백명의 금융 기록과 함께 아랍의 한 게시판에 게시돼 있다. 그가 가입한 신용카드 업체는 구매비용을 환불해 주었으며, 그는 인터넷 구매시 신용카드만을 사용하고 있다. 신용카드는 직불카드와 달리 구입 즉시 그의 계좌에서 빠져나가지 않아 사기 구매에 상대적으로 쉽게 대응할 수 있기 때문이다.
FBI는 수백명의 금융정보를 공개한 이 사이트들을 수사하고 있는지 즉시 확인해 주지 않았다. 이러한 사이트들은 전세계적으로 확산돼 있어 하나는 러시아 도메인명을 갖고 있었으며, 다른 것은 아랍어, 또다른 하나는 네덜란드에 위치해 있었다.
구글을 보안 도구로 활용하자?
금융정보를 게시한 웹사이트들이 등장하자, @스테이크의 위소팔은 주요 신용카드 업체가 오히려 구글을 보안 도구로 활용해야 한다고 말한다. 즉 잠재적으로 악한 사람들이 유출정보를 사용하기 전에 자사 사이트의 약점과 유출정보에 대해 검색을 해야한다는 것이다.
그는 “비자 카드는 예방 조치로 매일 이러한 검색을 해야 되지 않겠는가? 악당들은 이미 구글을 이용해 수백명의 신용카드 정보를 검색하고 있다. 착한 사람들이 똑같은 방법으로 이들을 물리치지 못할 이유가 있는가?”라고 반문했다. 이러한 감정은 지난주 라스베가스에서 발표된 블랙 햇 시큐리티 브리핑에서도 이어졌다. 보안 연구자들과 해커들은 보안이 허술한 서버와 데이터베이스를 정확히 짚어내는 구글의 능력에 놀라움을 금치 못했다.
이에 대해 비자 대변인 로제타 존스는 자사가 이미 사기행각을 적발할 수 있는 다양한 방안을 갖고 있다고 밝혔다. 그는 “구글이 데이터베이스에서 이들 번호를 찾았다면, 우리는 대부분의 경우 해당 번호가 도용됐음을 이미 인지한 상태다”라고 말했다. 비자는 신용카드 정보를 게재한 사이트를 찾기 위해 구글을 활용하진 않았지만, 이미 이러한 사이트들을 폐쇄하도록 조치를 취했다. 올해까지 비자는 신용카드 정보를 유통시킨 혐의로 20개 사이트를 폐쇄시켰다.
구글 소식에 정통한 소식통은 구글이 40억개에 달하는 인터넷 웹페이지를 효과적으로 감시할 수 없다고 지적한다. 구글은 법적으로 자사가 통제할 수 없는 ‘컨텐츠의 중재자’에 불과하기 때문에, 자사가 저장하거나 링크하는 컨텐츠에 대해 책임을 지지 않는다. 곧 소비자들 스스로 자신의 정보를 잘 감시해야 한다는 것이다. 그러나 사기빈도가 점점 늘어나면서 언스트와 같은 피해자도 속출하고 있다. 언스트는 “정보가 유출되고 있음을 확신한다”라고 말했다. @
'웹소식&트렌드' 카테고리의 다른 글
| Moblogging Gathers Momentum (3) | 2004.09.10 |
|---|---|
| [펌] 5대 포털 선정 한국의 100대 개인 홈페이지 (3) | 2004.09.09 |
| '사이버 시대 마음이 진화한다' (0) | 2004.09.03 |
| '벌레 나오는 식당'도 검색되는 야후 '거기' (2) | 2004.09.03 |
| [펌]초딩들의 개학! 네티즌들 “이젠 해방이다” (1) | 2004.08.30 |